Ez a számláló a poszt nézettségét mutatja. Mindenképp olvasd el ezt a posztot a részletekért.
Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (43) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Dino A. Dai Zovi interjú I.

2009.04.06. 21:15 | buherator | Szólj hozzá!

A Tom's Hardware interjút készített Charlie Miller egyik társával, Dino A. Dai Zovi-al. Az interjú első részét alant olvashatjátok:

Köszönjük, hogy elfogadtad a felkérésünket! Mesélnél egy kicsit magadról?

Számítógépes biztonsági szakértő és független biztonsági kutató vagyok. A személyes tapasztalatom a behatolásteszteléstől kezdve a szoftverbiztonsági auditon keresztül a biztonságmenedzsmentig terjed. Charlie Millerrel társszerzője vagyok a Mac hackerek kézikönyvének.  Gyakran adok elő biztonsági konferenciákon a sebezhetőségkihasználási technikákra vonatkozó kutatásaimról, a 802.11-es vezetéknélküli kliensek biztonságáról és a virtualizáció alapú rootkitekről. Az offenzív biztonságra öszpontosítok, mert úgy hiszem, hogy a támadók szemével kell látnunk ahhoz, hogy biztonságosabb rendszereket tervezhessünk.

 Ez az "offenzív" szemlélet népszerű manapság?

Ritkaswágászámba megy, és sokszor tabunak számít a gyakorlatban dolgozók körében. Bár néhány konferencián, pl. a BlackHat-en vagy  CanSecWest-en nagyon sok előadás szól a biztonsági gyengeségekről, más helyeken, pl. az RSA Expo-n ezeket a témákat sokkal kevésbé érintik.

Ezt a különbséget észre sem vettem. Most már érthető, hogy miért tűnik úgy, hogy a BlackHat-en és a CanSecWest-en mutatják be a legérdekesebb és leginnovatívabb munkákat. Hogyan vágtál bele a biztonsági bizniszbe?

A középiskolában kezdtem képezni magam, és azóta sokféle tanácsadói munkát végeztem, leggyakrabban behatolásteszteket helyi és távoli cégeknél. Ez azonban nem hozott elég pénzt a főiskolához,  szóval részmunkaidőben Unix rendszeradminisztrátorként is dolgoztam. Az iskolában és a munkában is a biztonságra koncentráltam, és egy idő után külsős tanácsadóként kezdtem dolgozni egy kutatólaboratórium Unix adminisztrációs részlegének, akiknek  biztonsági elemzést végeztem. Ezután bekerültem az ottani "Vörös csapatba"*, majd felkértek külső cégek szimulált támadással történő biztonsági vizsgálatára is. Miután lediplomáztam New Yorkba költöztem, ahol az @stake-nél helyezkedtem el, egy biztonsági cégnél, melyet később megvett a Symantec.

[* A Red Team-ek olyan csapatok, melyek a (nem csak IT-) biztonsági teszteléseket a valódi támadók módszereit szimulálva, sokszor gyakorlatilag kötöttségek nélkül végzik]

Szerényen fogalmaztál: Valójában a Sandia National Laboratiories' Information Design Assurance Red Team (IDART) tagja voltál. Ezt a csapatot hívja a Védelmi-, Pénzügy-, vagy Belügyminisztrériumnál meg akarnak győződni róla, hogy a Die Hard 4 vagy a 24 jelenetei nem történhetnek meg  a valóságban.

Tudom, hogy nem mehetsz bele a részletekbe, de ez egy teljes értékű Vörös Csapatos elemzés volt? Más szóval: a célpont nem tudott a tesztről, és a csapatnak minden minden eszköz rendelkezésére állt? Mondjuk otthagyhattatok egy trójaival megpakolt USB kulcsot egy parkolóban, és várhattatok, mire valaki jó szamaritánus módjára megpróbálja kideríteni, ki is hagyta el, és bedugja a gépébe?

Ezt sem megerősíteni sem cáfolni nem tudom

Az @stake is egy különleges cég volt, melynek kutatási részlege nagyrészt a L0pht Heavy Industries bekebelezésével állt össze. A L0pht az egyik úttörő "szürke kalapos" csapat volt. Hagyományosan fehér- és feketekalapos hackerekről beszélünk. A fehér kalaposok a jó-, a feketék a rosszfiúk.

A probléma az volt, hogy sok fehérkalapos túl jónak és nemesnek tartotta magát ahhoz, hogy a feketekalaposokkal törődjön, ennek eredményeként viszont csak korlátozott alapokra építkezhettek. A szürkekalapos koncepció az, hogy csak úgy érthetjük meg az összes fenyegetettséget, ha megértjük őket. Ez annak idején a rosszfiúkkal történő megalkuvást, de gyakorlatilag a veszélyek megértését is jelentette, amely a védekezési módok létrejöttéhez is hozzájárult. 

Milyen volt itt dolgozni?

Az @stake alkalmazta a szakma legtehettségesebbjeinek egy részét, és hatalmas lehetőség volt a legjobbaktól tanulni. Szerencsés voltam, hogy néhány nagy klien leg izgalmasabb és legfontosabb projektjén dolgozhattam. Erről a munkámról sme nagyon beszélhetek, leszámítva, hogy legnagyobb részt hálózati, webes, és szoftverbiztonsági teszteket végeztem, valamint csináltam némi fejlesztői munkát és biztonsági figyelemfelkeltő tréningeket is.

Hát, elég a múltból, mesélj a mostani munkádról!

Erről még nem beszélhetek.

Nem vagyok meglepve... Elmondanád milyen számítógépen dolgozol elsődleges rendszerként?

Több gépet használók rendszeresen, de ezek nagy része Mac. A főbb rendszereim között van egy MacBook Pro és egy Mac Pro. Nagyjából 2001 nyara óta Mac OS X-et használok a személyes rendszereimen.

Miért éppen az oly' kevéssé biztonságos Mac?

Mindhalálig Unix felhasználó maradok, és a Mac OS X a legjobban működő és legkényelmesebb Unix-szerű rendszer amit használtam. Hagyományos Unix környezetben programozhatok, megnézhetek egy DVD-t és használhatoma  Microsoft Office-t ugyanazon a rendszeren. A rendszer működik, és hagyja elvégezni a munkámat.

Azért is kezdtem a Mac biztonságával foglalkozni, mert mindig az volt előttem, és élveztem belehackelgetni. De anyagi érdekemben i sáll, hogy egy biztonságosabb rendszert használjak azokon a rendszereken, melyeken az adataimat tárolom.

Korábban beszéltem Charlieval, aki hasonlóan gondolkodott. Nem vagyok biztonsági kutató, de technikai embernek tartom magam, és Vistát és Fedora Linuxot használok. A személyes rendszeremen most váltottam Mac-re. Sok csalódott olvasónk vádol minket azzal, hogy megvett minket az Apple.

Ezekkel a cikkekel az egyik célom az, hogy a dolgokat kevésbée fekete-fehéren mutassam be (PC vs Mac). A szürkekalaposok is sokkal kifinomultabb elemzést képesek végezni a csata mindkét térfelét vizsgálva, és ugyanez elmondható a többféle operációs rendszer használatára is.  

A sokszínűség nagyobb biztonságot ad: ha az adataidat többféle rendszeren szórod szét, kiseeb az esélye, hogy egy támadó az összeshez hozzáfér. Hacsak nem egyikről a másikra jelentkezel be, vagy ugyanazon a hálózaton tartod őket. Valójában a legtöbb behatolás manapság a webböngészőkön keresztül történik, tehát egy átlagos malware támadás nem valószínű, hogy be tud férkőzni a hálózaton található, más oprendszer futtató részeibe.

Az előadásaidban mindig kihangsúlyozod a sebezhetőség és a kockázat közti különbséget. El tudnád magyarázni ezt a mi olvasóinknak is?

A sebezhetőség a rendszer egy olyan gyengesége, melyet egy támadó potenciálisan kihasználhat. A sebezhetőség kockázata annak az esélye, hogy egy támadó valóban előnyre tesz szert ezen keresztül. Úgy is szoktam fogalmazni, hogy ez a "safety" és a "security" közti különbség, mivel ez könnyebben érthető a laikusok számára [kár, hogy magyarul nem nagyon lehet különbséget tenni a két kifejezés között...].

A házad ajtajának nyitva hagyása semmiképpen sem biztonságos [nem "secure"], de attól függően hogy milyen környéken laksz, ez vagy kockázatos vagy nem [vagy "safe", vagy nem "safe"].

Fontos, hogy egy rendszer biztonsága összhangban álljon a kockázatokkal. A védekező oldal persze mindig csak a támadók nyomában kullognak amíg helyesen előre nem látják a kockázatokat. Nem sok értelme van kivárni míg tömeges Mac OS X támadások jelenjenek meg mielőtt elkezdenénk integrált védelmet kifejleszteni ellenük. Míg az internetes támadások következő generációját nem látjuk előre, addig a web-alapú malware a mai valóság.

 És mi a különbség egy exploit ["kihasználás"] és egy sebezhetőség között?

A sebezhetőség a rendszer egy olyan gyengesége, melyet egy támadó potenciálisan a maga előnyére fordíthat. Az előnyszerzés mikéntjét nevezzük kihasználásnak, és egy program ami ezt a feladatot elvégzi, hívjuk úgy, hogy "exploit". A valóségban nem minden sebezhetőséget lehet könnyen és megbízhatóan kihasználni. 

Szoftver exploitálási gyakorlat nélkül gyakran igen nehéz eldönteni, hogy egy sebezhetőség kihasználható-e. Gyakran azokat a sebezhetőségeket tekintjük kihasználhatónak, melyekről tehetséges exploit fejlesztők bebizonyították, hogy azok. A kihasználhatóság mértékét az adja, hogy az elemző, aki a hibát találta, ki tudja-e használni azt. 

Címkék: os x l0pht pwn2own dino a dai zovi at stake

A bejegyzés trackback címe:

http://buhera.blog.hu/api/trackback/id/tr911050481

Kommentek:

A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben.

Nincsenek hozzászólások.