Mark Lucas
0 
3127
409
Prije tri tjedna otkriven je ozbiljan sigurnosni problem u OS X 10.10.4. To samo po sebi nije osobito zanimljivo.
Otkrivene su sigurnosne ranjivosti u popularnim softverskim paketima cijelo vrijeme, a OS X nije iznimka. Otvorena baza podataka o ranjivosti (OSVDB) prikazuje najmanje 1100 ranjivosti označenih kao “OS X”. Ali što je Zanimljiv je način na koji je otkrivena ta posebna ranjivost.
Umjesto da kaže Appleu i da im pruži vremena za otklanjanje problema, istraživač je odlučio svoj radni vijek objaviti na Internetu kako bi ga svi vidjeli.
Krajnji rezultat bila je utrka oružja između Applea i hakera u crnim šeširima. Apple je morao pustiti zakrpu prije nego što se ranjivost oružanira, a hakeri su morali stvoriti eksploziju prije nego što se sustavi rizika dokopaju.
Moţete pomisliti da je odre particularena metoda razotkrivanja neodgovorna. Možete to čak nazvati neetičkim ili bezobzirnim. Ali to je složenije od toga. Dobrodošli u čudan, zbunjujući svijet otkrivanja ranjivosti.
Potpuno protiv odgovornog objavljivanja
Postoje dva popularna načina otkrivanja ranjivosti dobavljačima softvera.
Prvi se zove potpuno otkrivanje. Slično kao u prethodnom primjeru, istraživači odmah objavljuju svoju ranjivost u divljini, pružajući prodavačima apsolutno nikakvu priliku za izdavanje popravka.
Drugi se zove odgovorno otkrivanje, ili postupno otkrivanje. Ovdje istraživač kontaktira dobavljača prije nego što se ranjivost izda.
Obje strane dogovaraju se o vremenskom okviru u kojem istraživač obećava da neće objaviti ranjivost, kako bi pružio dobavljaču priliku da izgradi i pusti ispravku. Taj vremenski period može biti od 30 dana do godine, ovisno o ozbiljnosti i složenosti ranjivosti. Neke sigurnosne rupe ne mogu se lako popraviti i zahtijevaju da se cijeli softverski programi obnove ispočetka.
Jednom kada su obje strane zadovoljne proizvedenim popravkom, ranjivost se tada otkriva i dodjeljuje im se CVE broj. One jedinstveno identificiraju svaku ranjivost, a ranjivost se arhivira na mreži na OSVDB.
Ali što će se dogoditi ako istekne vrijeme čekanja? Pa, jedna od dvije stvari. Zatim će prodavač pregovarati o produženju s istraživačem. Ali ako istraživač nije zadovoljan načinom na koji je dobavljač reagirao ili se ponašao ili smatra da je zahtjev za proširenjem nerazuman, jednostavno ga može objaviti na mreži bez spremnog popravka.
U sigurnosnom polju vode se rasprave o tome koja je metoda razotkrivanja najbolja. Neki misle da je jedina etička i točna metoda potpuno otkrivanje. Neki smatraju da je najbolje dati prodavačima priliku da riješe problem prije nego što ga puste u divljinu.
Kako se ispostavilo, postoje neki uvjerljivi argumenti za obje strane.
Argumenti u korist odgovornog objavljivanja
Pogledajmo primjer gdje je bilo najbolje upotrijebiti odgovorno otkrivanje.
Kada govorimo o kritičnoj infrastrukturi u kontekstu Interneta, teško je izbjeći razgovor o DNS protokolu Kako promijeniti DNS poslužitelje i poboljšati internetsku sigurnost Kako promijeniti DNS poslužitelje i poboljšati internetsku sigurnost Zamislite ovo - probudite jednu lijepu ujutro, sipajte sebi šalicu kave, a zatim sjednite za svoje računalo da biste započeli sa svojim poslom za dan. Prije nego što zapravo dođete…. Ovo nam omogućuje prevođenje web-adresa čitljivih u ljudima (poput makeuseof.com) u IP adrese.
DNS sustav je nevjerojatno kompliciran, i to ne samo na tehničkoj razini. Puno je povjerenja u ovaj sustav. Vjerujemo da ćemo ga prilikom upisivanja web adrese poslati na pravo mjesto. Jednostavno je puno jahanja na integritetu ovog sustava.
Ako je netko mogao ometati ili kompromitirati DNS zahtjev, postoji velika mogućnost štete. Na primjer, mogli bi poslati ljude na lažne internetske stranice bankarstva, omogućujući im tako da dobiju njihove podatke o internetskom bankarstvu. Mogli bi presresti e-poštu i internetski promet putem napada napada čovjeka i pročitati sadržaj. Oni bi u osnovi mogli narušiti sigurnost interneta u cjelini. Zastrašujuće stvari.
Dan Kaminsky je ugledni istraživač sigurnosti, s dugim životopisom pronalaženja ranjivosti u dobro poznatom softveru. No, on je najpoznatiji po otkriću 2008. možda i najteže ranjivosti u DNS sustavu ikad pronađene. Ovo bi omogućilo nekome da lako izvrši napad trovanja predmemorijom (ili DNS spoofing) na DNS poslužitelju imena. Više tehničkih detalja ove ranjivosti objašnjeno je na konferenciji Def Con 2008.
Kaminsky, svjestan posljedica otpuštanja tako teške manjkavosti, odlučio je otkriti to dobavljačima DNS softvera koji su pogođeni ovom bugom.
Bio je pogođen niz glavnih DNS proizvoda, uključujući one koje su izgradili Alcatel-Lucent, BlueCoat Technologies, Apple i Cisco. Problem je također utjecao na brojne DNS implementacije koje su isporučene s nekim popularnim Linux / BSD distribucijama, uključujući one za Debian, Arch, Gentoo i FreeBSD.
Kaminski im je dao 150 dana da izrade popravku i radio je s njima u tajnosti kako bi im pomogao da razumiju ranjivost. Znao je da je ovo pitanje toliko ozbiljno, a potencijalne štete toliko velike da bi bilo nevjerojatno nesmotreno javno ga pustiti bez davanja dobavljačima priliku da izdaju zakrpu.
Usput, ranjivost je slučajno procurila od strane zaštitarske tvrtke Matsano u postu na blogu. Članak je skinut, ali zrcaljen, i dan nakon objave eksploatacije This Is How You Hack You: Mrtvi svijet eksploatacijskih setova Ovako vas mrze: Mračni svijet eksploatacijskih setova Scammers mogu koristiti softverske pakete za iskoristiti ranjivosti i stvoriti zlonamjerni softver. Ali što su ovi kompleti za eksploataciju? Odakle dolaze? I kako ih se može zaustaviti? stvoreno je.
Kaminsky ranjivost DNS-a u konačnici sažima srž argumenta u korist odgovornog, postupnog objavljivanja. Neke ranjivosti - poput ranjivosti nula dana Što je ranjivost nakon jednog dana? [MakeUseOf objašnjava] Što je ranjivost nakon jednog dana? [MakeUseOf Explains] - toliko su značajni da bi njihovo javno puštanje moglo prouzrokovati značajnu štetu.
No, postoji i uvjerljiv argument u prilog tome da se prethodno ne upozorava.
Slučaj za potpuno otkrivanje
Oslobađajući ranjivost na otvorenom, otključavate kutiju pandore u kojoj su nesretni pojedinci sposobni brzo i lako proizvesti eksploataciju i ugroziti ranjive sustave. Dakle, zašto bi se netko odlučio na to??
Postoji nekoliko razloga. Prvo, dobavljači često prilično sporo reagiraju na sigurnosne obavijesti. Učinkovito forsirajući ruku oslobađajući ranjivost u divljinu, više su motivirani za brzo reagiranje. Što je još gore, neki su skloni ne objavljivanju javnosti. Zašto tvrtke, koja krše kršenja tajne, mogu biti dobra stvar. Zašto tvrtke, koja krše kršenja tajne, mogu biti dobra stvar? Uz toliko mnogo informacija na mreži, svi se brinemo o potencijalnim narušavanjima sigurnosti. Ali ta se kršenja mogu zadržati u tajnosti u SAD-u kako bi vas zaštitila. Zvuči ludo, pa što se događa? činjenica da su isporučivali ranjiv softver. Potpuno otkrivanje prisiljava ih da budu pošteni prema svojim kupcima.
No također omogućuje potrošačima da se informirano odluče žele li nastaviti koristiti određeni, ranjivi dio softvera. Zamislila bih da većina ne bi.
Što dobavljači žele?
Prodavači doista ne vole potpuno objavljivanje.
Uostalom, za njih je nevjerojatno loš PR, a njihove kupce dovodi u opasnost. Pokušali su potaknuti ljude na odgovorno otkrivanje ranjivosti kroz programe bučnih nagrada. To su bili izuzetno uspješni, jer je Google samo u 2014. platio 1,3 milijuna dolara.
Iako vrijedi naglasiti da neke tvrtke - poput Oracle Oracle-a žele da prestanete slati njihove bugove - evo zašto je to ludi Oracle želi da prestanete slati njihove bugove - evo zašto je to Crazy Oracle u vrućoj vodi zbog pogrešnog posta na blogu od strane šefa sigurnosti , Mary Davidson. Ova demonstracija načina na koji se Oracle filozofija sigurnosti odmiče od glavnog toka nije dobro primljena u sigurnosnoj zajednici ... - obeshrabruje ljude da obavljaju sigurnosna istraživanja na svom softveru.
Ali još uvijek će biti ljudi koji inzistiraju na korištenju cjelovitog otkrivanja, bilo zbog filozofskih razloga, bilo zbog vlastitog zabavljanja. Nijedan program za obuzdavanje kukaca, ma koliko velikodušan, ne može mu se suprotstaviti.