Maribor na varnostnem zemljevidu sveta
Mariborska družba Acros Security je zadnje dni avgusta razburkala svetovno javnost. Govorilo in pisalo se je celo o dnevu nič Microsoftovih Oken. Z lastnim orodjem so v Acrosu preizkusili 220 programov za Okna in praktično v vseh našli varnostne vrzeli. Poimenovali so jih binary planting oz. podtikanje izvršljive kode na daljavo. Že kak teden dni prej so objavili tako ranljivost, povezano z aplikacijo iTunes, in Apple jo je v sodelovanju z njimi že odpravil. Ranljivost je dovoljevala oddaljenemu napadalcu na omrežno mesto podtakniti zlobno knjižnično datoteko ali sparjeno s kako medijsko datoteko. Ko je uporabnik slednjo pognal, so iTunes poskrbeli za zagon in izvajanje "DLLja". Podobno raziskavo so glede ranljivosti programa VMware objavili letos aprila. Zadnje dni so se o njihovem podvigu razpisali mediji, kot so The Register, PC Mag in Computerworld.
Pogovarjali smo se z direktorjem Mitjo Kolškom.
Mitja Kolšek, direktor Acros Security
Mi se ne reklamiramo prav posebej, ker nas tisti, ki so naše potencialne stranke, poznajo. Smo skupina entuziastov, ki se ukvarja z informacijsko varnostjo na robu znanega. Iščemo najbolj skrite varnostne vrzeli v računalniških sistemih in aplikacijah. In radi imamo najtežje izzive.
Imamo šest zaposlenih, vendar je velikost podjetja odvisna od merila po katerem ocenjujemo: po zaposlovanju smo mikro podjetje, po izkušnjah in znanju pa bi rekel, da na področju varnosti veljamo za velike. Prav tako po številu odkritih ranljivosti.
Stanje se pozna na povečanem povpraševanju. Morate se zavedati, da k nam pridejo predvsem tisti, ki imajo resne težave z varnostjo in se jih tudi zavedajo. Take resne težave ima sicer marsikdo, a se jih bodisi ne zaveda ali pa jih želi reševati s kakimi organizacijskimi ukrepi. Takih, ki se zavedajo pomena varnosti, je pa zadnje čase res vedno več. Ljudje smo pač narejeni tako, da šele, ko nam enkrat pade opeka na glavo, začnemo iskati trgovine s čeladami, prej ne.
Praviloma sicer ne moremo razkriti naših strank, a so nam to nekatere vendarle dovolile. Med tujimi lahko omenim Adobe Systems, Ebay, pa RSA Security, med domačimi pa imamo tako dovoljenje od Nove Ljubljanske banke, Elesa, Zavoda za zdravstveno zavarovanje Slovenije, Probanke, Banke Koper in Abanke.
Že od vsega začetka pretežno delamo za ameriške stranke, torej smo bolj popoldanska firma, popoldansko-večerna, če smo čisto natančni. Kar pa zadeva sodelovanje z Microsoftom, smo zdaj intenzivno sodelovali pri iskanju rešitev za celo vrsto težav, ki smo jih nedavno razkrili. Poudariti pa moram, da je v tem primeru šlo za brezplačno sodelovanje, rezultate naše raziskave smo razkrili, da ne bi uporabniki ostali na suhem.
Številni izdelovalci so se že kar navadili na tak volonterski pristop, ker jim mnogi dajejo tovrstne informacije o ranljivostih brezplačno. To ni nič nenavadnega. Mi, ki se s tem ukvarjamo, pač imamo neko družbeno odgovornost, da kot ljudje, ki odkrivamo nevarnosti, za katere še nihče ne ve, pazimo na končne uporabnike. Da ne bi pristali v krempljih ljudi, ki te stvari izrabljajo, in zlasti, da bi se imeli možnost vsaj malo ubraniti pred njimi.
Binary planting je pravzaprav stranski produkt raziskovalnega projekta, ki smo ga začeli že leta 2008 in ga je delno sofinancirala tudi država, a smo jim sredstva nekje na sredini projekta vrnili, ker je bilo preprosto preveč administracije. Kajti ko imaš v rokah pomembno odkritje, se res nimaš časa na veliko ukvarjati s papirji. Tu se stvari dogajajo zelo hitro in take administrativne ovire je treba odstraniti. Kako smo to našli? Razvili smo posebno orodje. Za napako smo sicer vedeli že prej in zanjo je že vsaj deset let vedela vsa varnostna srenja. Njene prisotnosti pa se na prvi pogled ni dalo prav pogosto zaznati. Mi smo jo pri projektih za naše stranke odkrivali vedno znova in smo se na neki točki odločili, da napišemo posebno orodje, ki bi nam pomagalo te ranljivosti iskati, in smo potem z njim pregledali okoli 220 priljubljenih aplikacij, takih, ki so nameščene na silno veliko računalnikih po vsem svetu, in naše orodje je na naše presenečenje odkrilo to napako v 90 %. Če malce zaokrožimo, torej v skoraj vseh. Ko smo videli, da je zadeva resna, smo letos marca o tem obvestili Microsoft. Postalo nam je jasno, da če raziskavo objavimo takoj, Microsoft ne bi imel možnosti izdelati primerne obrambe in uporabniki ne bi imeli nobene možnosti, da se zavarujejo. Zato smo jim predlagali, naj se lotijo pripravljanja neke vsaj zasilne rešitve, in to je to, s čimer je Microsoft danes oziroma včeraj (pogovor je potekal 24. 8. op. a.) prišel na plan.
Najprej je bil dogovor, da pri Microsoftu to rešitev izdelajo v tajnosti, mi pa smo prav tako potrebovali nekaj časa za pripravo naše raziskave za objavo. Pri tem nas je HD malo prehitel in glede na to smo se pač potem odzvali. Ko je on enkrat izdal to informacijo, to ni bila več nobena skrivnost in je bilo jasno, da bodo začeli strokovnjaki nemudoma iskati tovrstne ranljivosti. Ni bilo več razloga za skrivanje.
(Smeh.) Zelo dobro, hvala. Ok, naše orodje opazuje obnašanje procesov in zabeleži ranljivosti, ki jih zazna.
Najverjetneje.
Domači uporabniki so posebna kategorija, ker so premalo usposobljeni in nimajo omrežnih skrbnikov, ki bi jim znali ustrezno nastaviti požarne pregrade. Kar pa zadeva podjetja, kjer je škoda potencialno največja, tam to imajo in lahko ustavijo vse napade, ki pridejo iz interneta. Je pa zelo pametno namestiti popravek, ki ga je včeraj izdal Microsoft, in se malo poigrati z nastavitvami.
Gre za podtikanje DLL knjižnic in izvršljivih datotek, kot so EXE ali COM. Nekateri to isto reč sicer imenujejo tudi spoofing. Mi smo temu dali drugačno ime, ker ne gre samo za datoteke DLL, ne gre samo za knjižnice, gre za vse datoteke, ki vsebujejo kodo. Poleg tega ta razred ranljivosti vsebuje še precej več kot to, o čemer se danes govori, zato želimo s tem izrazom poskrbeti za red. Naloga stroke je namreč tudi poskrbeti za dobra poimenovanja, jasna in intuitivna, zato da se strokovnjaki med sabo o tem kasneje lahko čim bolj učinkovito pogovarjamo. To je ključni razlog za novi izraz.
Odgovorno razkritje ni bilo nikoli dobro definirano. Izraz "odgovorno" so si izmislili izdelovalci programske opreme, da bi napravili vtis, da vse, kar ni brezplačno posredovanje informacij njim, ne velja za odgovorno obnašanje. Pred kakšnim mesecem so se veliki, začenši z Microsoftom, vendarle odločili, da bodo to prakso opustili in poslej v svojih dokumentih takega obnašanja tudi več ne imenujejo odgovorno ali responsible, temveč koordinirano razkritje. Mi se pri tem držimo pravila, da ne smemo povzročati škode končnim uporabnikom. To je ključno. Ne razkrijemo podrobnosti neke ranljivosti, če ta ranljivost še ni odpravljena.
Različno. Cel spekter odgovorov je, od popolne tišine pa do tega, da se zahvalijo. Odvisno, kaj jim želiš dati. Če jim podatke o ranljivostih kar podariš, potem nekateri veliki imajo že procese, da to sprejmejo, se zahvalijo, nekateri te celo obveščajo, kako poteka odpravljanje te ranljivosti. Tak je nedavni primer Appla: na koncu se je zahvalil našemu sodelavcu in našemu podjetju na svoji spletni strani. Ampak odzivi so različni, ni nekega standarda.