Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Ki könnyíti meg a cyber-bűnözők dolgát?

2012.02.07. 08:00 | buherator | 11 komment

_2501 úgy tűnik, kissé felkapta a vizet a HWSW mai cikkén, ami Brad Arkin, az Adobe termékbiztonságért felelős vezetőjének a Kaspersky Security Analyst Summit 2012-n tartott előadásáról szól - azt kell mondjam, megértem a dolgot. A mondanivaló lényege nagyjából az, hogy az offenzív biztonsági kutatások - támadási módszerek, exploitok - publikálása valójában a rosszindulatú támadókat segíti, árt a gyártóknak, és a gyártón keresztül a felhasználóknak is. Arkin szerint az energiákat a defenzív megoldások fejlesztésére kellene fordítani, hogy a támadók dolgát nehezebbé tegyük.

Sajnos az általában elég bulvárosra sikerült cikkek miatt egy ideje leiratkoztam a Dark Readingről, így beletellt egy kis időbe, mire előgugliztam az eredeti cikket. Bár részben beigazolódott az a sejtésem, hogy a hiányos fordítás kiélez egyes állításokat, szegény Brad jó eséllyel páyázhat az idei legbénább gyártói reakcióért járó Pwnie-ra. Mivel a DR tudósítóiban sem bízom, vegyük csak az idézett mondatokat (melyek persze kiragadottak, de kevéssé félreérthetőek):

"[BA] says Adobe's goal is not to address each and every vulnerability that's discovered in its software, but instead to build mitigations that drive up the cost of writing exploits" - Nyilván ők is rájöttek, hogy annyira bugos a kódjuk, hogy lehetetlen javítani. Vegyük észre, hogy még a mindenki szeme-fénye Internet Explorerben is egyre kevesebb hibát találnak, az Adobe Reader meg mintha nem akarna kiapadni.

"Recent data showed that the biggest jump in attacks against Adobe applications occurs after an attack method goes public or a Metasploit penetration-testing module is written, he said" - Van a füllentés, van a hazugság, és van a statisztika. Az Adobe esetében a tipikus az, hogy megjelenik egy 0day a sztyeppéről, amit nem tudnak detektálni, és nem tudnak reprodukálni (sem a MSF-ben, sem máshol). Aztán előkerül pár malware minta, esetleg patch, ami alapján lehet AV szignatúrát generálni, meg exploitot írni - vegyük észre, hogy az információs bázis, a táptalaj közel azonos! A malware közben terjed, a szignatúrákat terítik, a VirusTotal meg pörög, a detekciós ráta így a csúcs közelébe ér mire commitolják az új exploit modult a Frameworkbe.

"We fixed thousands of bugs in Adobe 9, screwing up a lot of the code that should have stayed where it was" - Ez pedig azt hiszem, egyszerűen mindent elmond az Adobe szoftverfejlesztési folyamatairól.

Jó lenne ilyen baromságok helyett inkább arról olvasni, hogy mit prezentált Boldi ugyanezen a konfon...

Címkék: gondolat adobe hwsw sas2012 brad arkin

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hunger 2012.02.07. 09:35:44

"Az Adobe esetében a tipikus az, hogy megjelenik egy 0day a sztyeppéről, amit nem tudnak detektálni, és nem tudnak reprodukálni"

so true

Pont az Adobetól a legviccesebb ezt hallani, hogy a nyilvánosságra hozott hibák segítik a támadókat, amikor a fél itsec ipar azon szokott dolgozni, hogy kiderítsék már megint milyen Adobe 0day sebezhetőséget használnak ki a vadonban.

Hunger 2012.02.09. 17:40:42

@_2501: ne röhögj, gerjeszted itt (és ott is :) a flamet! :P

bboldii11-2011 2012.02.10. 01:24:48

Valóban nem volt annyira sarkított az előadás, illetve nem volt aggresszív. Azért azt látni kell, hogy minden nagyobb szoftverben valóban evidens, hogy lesznek hibák, és Brad is erről az alapfelvetésről indult, és arról, hogy mindent lehetetlen kijavítani, a fontossági sorrendben lehet csak haladni.
Bemutatott továbbá néhány ábrát is, hogy mi a tipikus lezajlása egy exploitnak az ő szemszögükből, és így picit alátámasztotta mondanivalóját.

Nem akarom védeni az Adobe-t, de válasszuk ketté a dolgot. Az, hogy milyen állapotban van a kódbázisuk, és hogy az elfogadható-e egy kérdés, és lehet, hogy igazatok van.

A másik kérdéskör, hogy kell-e koncentrálni a védekezésre szintén nem kérdés, ha így írjuk le, hogy Brad különösen örül az ASLR elterjedésének, akkor hipphopp már mindenki örülne is, hogy végre valaki kiáll a jó dolgok mellett.

Azon a kérdéskörön, hogy hogy kell a támadásokat publikálni, vagy hogy a védekezésre kell-e jobban fókuszálni vagy a támadásra, el lehet vitatkozni egy ideig, nyilván nincs egy tökéletes álláspont a kérdésben.

Szóval összességében én inkább a pozitív dolgokat próbálom észrevenni: Igenis az Adobe számára is fontos lett a biztonság, igenis változik a szemlélet és befektetnek a dologba, igenis elképzelhető, hogy pár év múlva már nem az Adobe-n kell röhögni, és igenis jó dolog, ha felismerték, hogy alapvető defenzív eszközökkel sok minden elérhető, kezdve azzal, hogy egyes hülye feature-ök kikapcsolhatóak, és így könnyebben lehet kezelni friss hibákat is, amíg nincs patch.

_2501 2012.02.10. 11:39:29

@boldii: Valid amiket írtál, tiszta hogy nagy cofferben mindíg találni hibát, teljesen helyén való hogy foglalkoznak a problémával, és azt is megértem hogy védelmi mechanizmusokat építenek be mert több hibát fednek le gyorsabban mintha egyesével tötyögnek rajtuk végig. Ha tegnap csak fele ennyire foglalkoztak volna a biztosnág kérdéseivel, akkor ma nem beszélnénk erről. Ha optimista fejjel értékelem, akkor azt mondom hurrá, haladunk. A pozitív szemléleted respekt. Sajnos már volt szerencsém a fent említett neves céggel néhányszor kapcsolatba kerülni ezért nekem kicsit nehezebben megy az optimizmus. Ennél diplomatikusabban nem tudtam volna megfogalmazni. :)

buherator · http://buhera.blog.hu 2012.02.10. 13:44:05

@boldii: Köszi, jó hogy megvilágítod ezeket a dolgokat is. Nagyon érik már egy sörözés, ahol majd jól kibeszéljük ezt a témát is. Meghívom majd NancsiBacsit! :D

_2501 2012.02.10. 13:47:23

@buherator: kibeszélni a témát oké, az N betűs szó mostantól káromkodásnak számít.

buherator · http://buhera.blog.hu 2012.02.12. 19:56:33

(Előbb kéne olvasnom mint írnom, akkor nem duplaposztolnék...)

A ThreatPostos cikkhez:

Vegyük észre, hogy az Adobe nem állt be a MS, Google és Apple által mutatott irányba, pedig... Az meg, hogy az anyagilag motivált támadók nem fektetnek a kutátsba, megint ezer példával cáfolható. A kommentek is jópofák :)