_2501 úgy tűnik, kissé felkapta a vizet a HWSW mai cikkén, ami Brad Arkin, az Adobe termékbiztonságért felelős vezetőjének a Kaspersky Security Analyst Summit 2012-n tartott előadásáról szól - azt kell mondjam, megértem a dolgot. A mondanivaló lényege nagyjából az, hogy az offenzív biztonsági kutatások - támadási módszerek, exploitok - publikálása valójában a rosszindulatú támadókat segíti, árt a gyártóknak, és a gyártón keresztül a felhasználóknak is. Arkin szerint az energiákat a defenzív megoldások fejlesztésére kellene fordítani, hogy a támadók dolgát nehezebbé tegyük.
Sajnos az általában elég bulvárosra sikerült cikkek miatt egy ideje leiratkoztam a Dark Readingről, így beletellt egy kis időbe, mire előgugliztam az eredeti cikket. Bár részben beigazolódott az a sejtésem, hogy a hiányos fordítás kiélez egyes állításokat, szegény Brad jó eséllyel páyázhat az idei legbénább gyártói reakcióért járó Pwnie-ra. Mivel a DR tudósítóiban sem bízom, vegyük csak az idézett mondatokat (melyek persze kiragadottak, de kevéssé félreérthetőek):
"[BA] says Adobe's goal is not to address each and every vulnerability that's discovered in its software, but instead to build mitigations that drive up the cost of writing exploits" - Nyilván ők is rájöttek, hogy annyira bugos a kódjuk, hogy lehetetlen javítani. Vegyük észre, hogy még a mindenki szeme-fénye Internet Explorerben is egyre kevesebb hibát találnak, az Adobe Reader meg mintha nem akarna kiapadni.
"Recent data showed that the biggest jump in attacks against Adobe applications occurs after an attack method goes public or a Metasploit penetration-testing module is written, he said" - Van a füllentés, van a hazugság, és van a statisztika. Az Adobe esetében a tipikus az, hogy megjelenik egy 0day a sztyeppéről, amit nem tudnak detektálni, és nem tudnak reprodukálni (sem a MSF-ben, sem máshol). Aztán előkerül pár malware minta, esetleg patch, ami alapján lehet AV szignatúrát generálni, meg exploitot írni - vegyük észre, hogy az információs bázis, a táptalaj közel azonos! A malware közben terjed, a szignatúrákat terítik, a VirusTotal meg pörög, a detekciós ráta így a csúcs közelébe ér mire commitolják az új exploit modult a Frameworkbe.
"We fixed thousands of bugs in Adobe 9, screwing up a lot of the code that should have stayed where it was" - Ez pedig azt hiszem, egyszerűen mindent elmond az Adobe szoftverfejlesztési folyamatairól.
Jó lenne ilyen baromságok helyett inkább arról olvasni, hogy mit prezentált Boldi ugyanezen a konfon...
Hunger 2012.02.07. 09:35:44
so true
Pont az Adobetól a legviccesebb ezt hallani, hogy a nyilvánosságra hozott hibák segítik a támadókat, amikor a fél itsec ipar azon szokott dolgozni, hogy kiderítsék már megint milyen Adobe 0day sebezhetőséget használnak ki a vadonban.
_2501 2012.02.07. 11:12:07
Hunger 2012.02.09. 17:40:42
_2501 2012.02.09. 17:56:17
bboldii11-2011 2012.02.10. 01:24:48
Bemutatott továbbá néhány ábrát is, hogy mi a tipikus lezajlása egy exploitnak az ő szemszögükből, és így picit alátámasztotta mondanivalóját.
Nem akarom védeni az Adobe-t, de válasszuk ketté a dolgot. Az, hogy milyen állapotban van a kódbázisuk, és hogy az elfogadható-e egy kérdés, és lehet, hogy igazatok van.
A másik kérdéskör, hogy kell-e koncentrálni a védekezésre szintén nem kérdés, ha így írjuk le, hogy Brad különösen örül az ASLR elterjedésének, akkor hipphopp már mindenki örülne is, hogy végre valaki kiáll a jó dolgok mellett.
Azon a kérdéskörön, hogy hogy kell a támadásokat publikálni, vagy hogy a védekezésre kell-e jobban fókuszálni vagy a támadásra, el lehet vitatkozni egy ideig, nyilván nincs egy tökéletes álláspont a kérdésben.
Szóval összességében én inkább a pozitív dolgokat próbálom észrevenni: Igenis az Adobe számára is fontos lett a biztonság, igenis változik a szemlélet és befektetnek a dologba, igenis elképzelhető, hogy pár év múlva már nem az Adobe-n kell röhögni, és igenis jó dolog, ha felismerték, hogy alapvető defenzív eszközökkel sok minden elérhető, kezdve azzal, hogy egyes hülye feature-ök kikapcsolhatóak, és így könnyebben lehet kezelni friss hibákat is, amíg nincs patch.
_2501 2012.02.10. 11:39:29
bboldii11-2011 2012.02.10. 12:22:11
buherator · http://buhera.blog.hu 2012.02.10. 13:44:05
_2501 2012.02.10. 13:47:23
bboldii11-2011 2012.02.10. 22:24:02
threatpost.com/en_us/blogs/brad-arkin-driving-cost-exploits-and-recovering-zero-days-020912
buherator · http://buhera.blog.hu 2012.02.12. 19:56:33
A ThreatPostos cikkhez:
Vegyük észre, hogy az Adobe nem állt be a MS, Google és Apple által mutatott irányba, pedig... Az meg, hogy az anyagilag motivált támadók nem fektetnek a kutátsba, megint ezer példával cáfolható. A kommentek is jópofák :)