Internet znowu zagrożony
Organizatorzy rozpoczynającej się w przyszłym tygodniu konferencji Black Hat Europe zapowiadają poinformowanie na niej o istnieniu luki, która stwarza zagrożenie dla wszystkich korzystających z Internetu. Zapewniają, że jest ona równie ważna, jak ujawniona w lipcu 2008 przez Dana Kaminsky'ego dziura w systemie DNS. Wówczas tamtą dziurę udało się załatać dzięki szeroko zakrojonej współpracy niemal wszystkich wielkich graczy z sektora IT.
Oprócz informacji o nowej poważnej dziurze zapowiadane są też prezentacje dotyczące problemów bezpieczeństwa w systemie Mac OS X, pakiecie OpenOffice i oprogramowaniu SAP. Ma zostać ujawnionych sześć nowych luk oraz 12 nowych narzędzi dla profesjonalistów zajmujących się bezpieczeństwem.
Swoje prezentacje zapowiedzieli:
- Chema Alonso i Enrique Rando, którzy pokażą, w jaki sposób, analizując udostępniane na firmowych witrynach informacje, zdobyć dane o strukturze sieci wewnętrznej czy odgadnąć adresy IP serwerów czy drukarek;
- Eric Filiol, główny naukowiec Akademii Armii Francuskiej będzie dowodził, że twórcy OpenOffice'a mają problemy z aktualizowaniem go na czas oraz, że łatwiej jest spreparować szkodliwy dokument w OpenOffice niż w MS Office. Zdaniem Filiola w samej architekturze opensource'owego pakietu biurowego zawarte są błędy, które wymagają przeprojektowania tego oprogramowania;
- Charlie Miller i Vincenzo Iozzo pokażą, w jaki sposób zaatakować Mac OS X-a pozostawiając minimalną liczbę śladów. W swojej prezentacji poruszą też kwestię bezpieczeństwa iPhone'a;
- Mariano Nunez Di Croce przeprowadzi test penetracyjny systemu SAP;
- Enno Rey i Daniel Mende powiedzą o błędach w podstawowych protokołach Internetu, poruszą kwestię bezpieczeństwa BGP i MPLS.
Black Hat Europe rozpocznie się 14 kwietnia. Dwa pierwsze dni będą poświęcone na praktyczne warsztaty, a dwa kolejne - na prezentacje.
Komentarze (4)
mikroos, 7 kwietnia 2009, 22:06
Tak z ciekawości, orientuje się ktoś może, jak to jest z publikowaniem informacji o dziurach? Przecież nie jest chyba tak, że oni ogłoszą, na czym polega dziura i jak ją wykorzystać, a developerzy wezmą się za jej łatanie dopiero po oficjalnym ogłoszeniu tej informacji? W rzeczywistości producenci oprogramowania chyba dostają wcześniej poufną informację o dziurze i rekomendowanym sposobie jej załatania, prawda?
divine_wrath, 7 kwietnia 2009, 22:25
Tak to właśnie wygląda. Producenci oprogramowania otrzymują informacje o dziurach sporo wcześniej.
mikroos, 7 kwietnia 2009, 22:26
Dzięki
Zdrowy rozsądek podpowiadał taką odpowiedź, ale zawsze lepiej się upewnić 
Mariusz Błoński, 7 kwietnia 2009, 22:48
Najczęściej jest tak, że odkrywca dziury najpierw przekazuje info producentowi oprogramowania. Zdarza się jednak, że taka informacja jest upubliczniania zanim jeszcze dowie się o niej producent. Niektórzy płacą za info o dziurach (ale jest to mocno krytykowane). Zdarza się i tak, że producent oprogramowania przez dłuższy czas nie reaguje na info o dziurze i wtedy jej odkrywca upublicznia informację, by wymusić stworzenie łaty.
Jeśli chodzi Ci o odgórne regulacje, to takich nie ma.
Stosunkowo niewielka liczba dziur zero-day wskazuje, że w większości odkrywcy luk zachowują się odpowiedzialnie i najpierw informują producentów. Nie zawsze jednak tak się dzieje, czego przykładem może być obecna luka zero-day w PowerPoincie.
Jednak tak naprawdę to cyberprzestępcy nie potrzebują luk zero-day. Oni najczęściej robią w ten sposób, że gdy np. MS opublikuje łaty, poddają je wstecznej inżynierii i na tej podstawie opracowują szkodliwy kod (czasami są w stanie wypuścić robala już kilka godzin po pojawieniu się łaty). Taka strategia działa, czego najlepszym dowodem sukces Confickera. Ukazał się on chyba z 2 tygodnie po udostępnieniu przez MS łaty i do początku bieżącego roku zaraził około 9 milionów komputerów, mimo że łata była dostępna od początku października.
A w kontekście informacji, którą komentujemy: często bywa też tak, że odkrywca luki publicznie informuje, że dziura jest, ale nie zdradza jej szczegółów, by producent oprogramowania miał czas na przygotowanie łaty.