Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Ipari irányítók

2012.11.26. 22:23 | buherator | 2 komment

Az utóbbi napokban kisebb pánikot okozott bizonyos körökben, hogy egy eddig kevéssé ismert máltai cég, a ReVuln egy 0-day SCADA sérülékenységek kihasználását bemutató videót tett közzé, nem titkoltan privát exploit kínálata propagálására. A sérülékenységek részleteit a cég a vele kapcsolatba lépő ICS-CERT-nek nem adta ki, az exploitok kizárólag a ReVuln fizető kuncsaftjai számára lesznek megismerhetők a független publikálásig vagy javításig.

Mielőtt azonban elszaladunk lekapcsolni Paksot, érdemes tisztába kerülni néhány dologgal: a SCADA szoftverek jórészt teljesen hagyományos, x86-on, népszerű operációs rendszereken futó komponensekből állnak, melyekben jól ismert módszerekkel lehet sérülékenységeket keresni és a hibakihasználás eszköztára is készen áll. És bár az ember szívesen feltételezné, hogy az általában kritikus funkcionalitást megvalósító szoftverek tervezése és fejlesztése szigorú biztonsági kontrollok mellett történik, a valóságban sajnos elmondható, hogy ezek a termékek (is) gyakran igen silány minőségűek.

Ezt a hazai tapasztalatok mellett Aaron Portnoy rövid kísérlete is alátámasztja: az Exodus Intelligence "kereskedőházat" vezető kutató saját bevallása szerint 23 sérülékenységet talált különböző SCADA szoftverekben egyetlen délelőtt alatt. 

A két eredmény publikálását körülvevő kis szappanopera azt hiszem jól bemutatja a sérülékenység-piac ellentmondásait: Portnoy finom utalásokat tesz, hogy kritikus ipari rendszerek ellen használható exploitokat árulni nem feltétlenül a legetikusabb magatartás, mire Luigi Auriemma, a ReVuln alapítója felemlegeti, hogy Portnoy-ék is elérhetővé teszik partnereik számára a sérülékenység-információkat még a javítás megjelenése előtt, és talán még a kutatóikat is átverik eközben. (A nagyközönség pedig csendben pánikol, hogy mikor zuhan a fejére egy repülő)

A pátoszos érvek és elvek mögött persze leginkább jól kigondolt üzleti modellek és marketing stratégia állnak, melyek mind a maguk módján próbálják felszívni és pénzzé tenni a világ kutatói által rajtakapott bugokat. És bár úgy tűnhet, hogy egy új jelenséggel van dolgunk, mi most valószínűleg csak a kis halak összezörrenéseit látjuk a már évtizedek óta offenzív kutatásokkal foglalkozó, csendben úszkáló "védelmi beszállítók" uralta tengerében

Címkék: 0day scada luigi auriemma exodus intelligence revuln aaron portnoy

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

axt · http://axtaxt.wordpress.com/ 2012.11.27. 00:30:24

Hát Aaron Portnoy és Luigi Auriemma egyébként sem puszkópajtások, legalábbis nemrég volt egy szép szappanopera jelenetük egymással valami 0-day ügyében. Valószínűleg itt is nem csak etikáról van szó, hanem ez is része kettejük csatájának.

Depth 2012.11.27. 11:14:25

Ha eszembe jut amikor időm van én is megírom a saját kis véleményemet a hiba felvásárló cégekkel kapcsolatos tapasztalataimmal :)
Pl: Megvásárolt de soha nem került upcomingba, CVE-t sem kapott (már 2 éve) HP szoftver esete :)
Levelezések amelyben fél éven keresztül nem sikerül triggerelni a hibát( és amelyben próbálnak meggyőzni, hogy én néztem be valamit...)

Meg ha van rá igény... :)