HD Moore: 31 dziur w 31 dni
Na początku lipca Internet zelektryzowała deklaracja HD Moora - twórcy popularnego zestawu narzędzi hakerskich Metasploit Framework - który zapowiedział, że każdego dnia tego miesiąca będzie publikował informację o błędzie w jednej z popularnych przeglądarek internetowych. Lipiec minął i czas na podsumowania - okazuje się, że w Moore dotrzymał słowa - w ciągu 31 dni upublicznił informacje 31 lukach w zabezpieczeniach Internet Explorera, Safari, Firefoksa, Opery oraz Konquerora. Co więcej, nasi koledzy z amerykańskiego magazynu InfoWorld mieli okazję porozmawiać z HD Moore'm, który opowiedział m.in. o projekcie "Lipiec miesiącem błędów w przeglądarkach", a także o genezie Metasploit Framework oraz o udostępnionym niedawno narzędziu wyszukującym błędy w kodzie z wykorzystaniem Google'a.
"Miesiąc" błędów w przeglądarkach został oficjalnie zainicjowany przez HD Moore'a 2 lipca, w jego blogu ( pisaliśmy o tym w tekście "Lipiec "miesiącem błędów w przeglądarkach" - http://www.idg.pl/news/95757.html ). Moore zapowiedział wtedy, że żaden z ujawnionych przez niego błędów nie będzie na tyle poważny, że pozwoliłby cyberprzestępcom na wykonanie kodu na zaatakowanym komputerze. "Takie informacje zostaną opublikowane, by ostrzec przed różnymi typami błędów, które występują we współczesnych przeglądarkach oraz zademonstrować techniki, jakich użyłem, by je odnaleźć" - tłumaczył HD Moore.
31 dni, 31 dziur
Lipiec minął, czas więc na podsumowania. Wygląda na to, że Moore dotrzymał słowa - w ciągu 31 dni minionego miesiąca opisał na stronie http://browserfun.blogspot.com 31 błędów w zabezpieczeniach pięciu przeglądarek. Niechlubne pierwsze miejsce w tym zestawieniu zajął Internet Explorer Microsoft, w którym znaleziono łącznie 25 różnych błędów. Na drugim miejscu uplasowały się ex aequo Safari i Mozilla Firefox ( po 2 błędy ), zaś na trzecim - Opera i Koqueror ( po 1 luce ). Moore ogłosił zakończenie projektu - zapowiedział też jednak, że strona http://browserfun.blogspot.com nie zniknie z Sieci - będą na niej prezentowane bieżące informacje na temat problemów z bezpieczeństwem przeglądarek.
Warto wspomnieć, że nazwisko "łowcy błędów" pojawiło się minionym miesiącu w mediach również z innego powodu - autor pakietu Metasploit Framework udostępnił ciekawe narzędzie służące do wykrywania złośliwego kodu, działające w oparciu o mechanizm wyszukiwawczy Google'a. Poniżej prezentujemy wywiad z HD Moore'm, przeprowadzony przez Paula Robertsa z amerykańskiego magazynu InfoWorld - Moore opowiada w nim zarówno o błędach w przeglądarkach, jak i powstaniu Metasploit Framework oraz o zjawisku kupowania informacji o dziurach w oprogramowaniu.
InfoWorld: Skąd wziął się pomysł na stworzenie Metasploit Framework - pakietu narzędzi hakerskich, ułatwiających analizowanie poziomu bezpieczeństwa systemu?
HD Moore: W 2003 r. nagle nastąpiło... coś w rodzaju martwego czasu w zakresie bezpieczeństwa. Wiele osób zajmujących się tą tematyką - tzn. publikujących informacje o błędach - porzuciło to zajęcie, zaczęli pracę w różnych firmach. W tym samym czasie prywatne przedsiębiorstwa zaczęły skupować informacje o lukach - ludzie więc zaczęli się zastanawiać "Czemu właściwie mam informować o dziurze na publicznie dostępnej liście, skoro mogę sprzedać tę wiadomość np. ludziom z iDefense?". W projekcie Metasploit chodziło więc o stworzenie narzędzia, które pozwoliłoby szybko i sprawnie znajdować nowe luki w zabezpieczeniach i przeciwdziałać im.
A jak ten projekt rozwinął się do obecnej postaci?
Początkowo informację o nim przekazywali sobie sami użytkownicy. Przeważały pozytywne opinie. Pewnego dnia odezwał się Spoonm [obecnie główny programista Metasploit - red.] - napisał w e-mailu: "Ten program jest do bani!". Odpowiedziałem więc "Tak? To może zrobisz to lepiej?". A on... po prostu to zrobił. W tej branży, by zachęcić kogoś do wykonania jakiegoś zadania, musisz podrażnić jego ego. Uczynić to zadanie wyzwaniem. Tak pracują nasi programiści. Moim zdaniem - jako szefa projektu - jest po prostu cały czas mówić "No dobra. Jak możemy teraz to ulepszyć?".
Co, Twoim zdaniem, o Metasploit powinni wiedzieć pracownicy działów IT?
Zawsze waham się przed poleceniem Metasploit użytkownikom korporacyjnym - nigdy nie wiadomo, czy obowiązujące w danej firmie zasady nie zakazują korzystania z takiego oprogramowania. Metasploit jest dobrym narzędziem dla firm, które właśnie zleciły komuś sprawdzenie swoich zabezpieczeń - dzięki niemu możecie sprawdzić, czy zrobili to dobrze i czy znalezione przez "testerów" luki rzeczywiście istnieją. Z korzystaniem z dostępnych w Sieci exploitów zawsze wiąże się pewne ryzyko - a uruchamiając Metasploit jesteś bezpieczny. Kilka tygodni temu wywołałeś burzę, zapowiadając udostępnianie przez cały lipiec informacji o kolejnych błędach w przeglądarkach...
Uznałem, że jeśli już wykryje się lukę w zabezpieczeniach programu i chce się komuś ją udostępnić to wszyscy powinni o niej wiedzieć. Kilka lat temu amerykański CERT wprowadził program, w ramach którego niektórzy klienci mogli kupować informacje o błędach z wyprzedzeniem, przed podaniem ich do publicznej wiadomości. Skończyło się to tym, że ktoś wykorzystał taką informację i stworzył exploita zanim większość użytkowników zdołała się zabezpieczyć. Częściowe ujawnianie informacji o błędach nigdy się nie sprawdza...
Niedawno zaprezentowałeś oparte na Google'u narzędzie do wyszukiwania złośliwego oprogramowania - podobne do tego, jakie stworzyła firma Websense. Powiedz coś więcej na ten temat.
Znaleźliśmy za jego pomocą ogromną liczbą różnych niebezpiecznych programów - wśród nich znalazło się kilka ciekawych przypadków. Łącznie pobraliśmy ok. 400 GB plików binarnych - wśród 2,3 tys. próbek kodu znaleźliśmy 125 znanych "złośliwych" programów oraz blisko 100 programów o niebezpiecznych cechach, których nie wykrywały żadne popularne narzędzia antywirusowe.
W ostatnim czasie w Sieci pojawiło się wiele nowych, niebezpiecznych exploitów, atakujących nieznane wcześniej luki w Wordzie, Excelu czy PowerPoincie. Nie niepokoi Cię to zjawisko?
Rzeczywiście, pojawił się jakiś nowy trend i coraz częściej mamy do czynienia z sytuacją, w której exploit pojawia się jeszcze przed upublicznieniem informacji o jakiejś luce. Wiem, ze takie informacje często są obiektem handlu - tylko w ostatnich dniach sprzedano w Sieci kilka nowych exploitów, wykorzystujących nieupublicznione jeszcze błędy.
Słyszałeś pewnie o inicjatywach firm TippingPoint czy VeriSign, które płacą za informacje o nowych lukach - to sprawia, że wiele osób sprzedaje szczegółowe dane na temat luki, a dopiero później przekazuje je autorowi programu. To nie wszystko - istnieje też duża grupa klientów, którzy chętnie zapłacą za takie informacje 10 czy 15 razy więcej niż TippingPoint czy VeriSign. Nie wiemy, kim oni są - według plotek ich sponsorami są "trzyliterowe" agencje rządu USA.