Szerző: Dojcsák Dániel

2012. február 6. 10:23

Adobe: a biztonsági cégek könnyítik meg a bűnözők dolgát

A biztonsági szakértőknek meg kellene változtatnia módszereiket és a hibák és sérülékenységek utáni keresgélés helyett el kellene kezdeni azon gondolkodni, hogyan lehet megnehezíteni a konkrét támadásokat - mondta a mexikói Cancunban a Kaspersky Lab Security Analyst Summiton az Adobe egyik biztonsági szakértője.

Brad Arkin, az Adobe biztonsági és adatvédelmi igazgatója szerint túl sok figyelem összpontosul a sérülékenységekre és hibákra a szoftverekben. Ezek helyett a kutatásoknak abba az irányba kellene mennie, hogy a hibák felfedezése és azok kihasználása a mostaninál sokkal drágább és sokkal bonyolultabb legyen csak megvalósítható.

A biztonsági kutatók általában offenzív módszerekkel vizsgálják a programokat, és a proof-of-concept, illetve az egyéb információk nyilvánosságra hozásával megkönnyítik a támadók dolgát. Miután egy hibát felfedeztek, azt többnyire publikálják vagy bemutatják egy konferencián, tehát az információ bárki számára készen, szépen becsomagolva rendelkezésre áll. Mégpedig úgy, hogy a támadónak nem kellett sem technológiát, sem emberi erőforrást invesztálnia az eredeti kutatásba. Az eredmény pedig számtalan variáns egy adott sebezhetőség kihasználására, gyakran még azt megelőzően, hogy a javítás megérkezne.

A publikált nehéz már könnyű

“Ha kiadsz egy tanulmányt egy új technológiáról, akkor a korábban nehéz megoldás könnyűvé válik” - mondja Arkin. Álláspontjának illusztrálására az Adobe Reader egyik hibáját hozta fel, amihez ugyan a nulladik napon meg is jelent a javítás, de a támadóknak mégis sikerült szinte azonnal fejleszteni rá egy a hibát kihasználó rosszindulatú kódot. Ehhez egy három évvel korábban megjelent proof-of-conceptet használtak fel, nem volt szükségük arra, hogy tudják, ez a típusú sebezhetőség hogyan működik, a megoldás ott volt előttük. Valamit elsőként megírni igazán nehéz, sokkal könnyebb felhasználni egy meglévő példakódot, és ezt a legtöbb támadó meg is teszi.

Arkin jelezte, hogy nem arról beszél, hogy a kutatóknak fel kellene hagynia a publikálással és a közös gondolkodással, tudásmegosztással, de úgy tűnik, mintha a szakma nem lenne hajlandó elfogadni, hogy a cyberbűnözők a nyilvánosságra hozott sebezhetőségeket ingyenes kutatás-fejlesztési alapanyagként használják céljaik elérésére.

A kutatók a vizsgált szoftverek alatt vágják a fát

“Az offenzív kutatóknak jó lenne átgondolnia a következményeket, hogy mi történik azután, hogy egy sebezhetőség vagy egy új technológia kijut a közös térbe" hangsúlyozta a szakember. Arkin szerint egy tökéletes világban a szakértők csak olyanokkal osztanák meg a sebezhetőségekről szóló anyagokat, akik biztosan nem élnek vissza az információkkal. Ez viszont nem egy tökéletes világ, a kutatások ráadásul többségében publikusan elérhetőek. Át kell gondolni, hogyan lehet ezt a rendszert jobbá, biztonságosabbá tenni - sugallta az Adobe illetékese.

Különösen nagy értékkel bírhat az, ha valaki nem a sebezhetőségek felkutatásába öli energiáit, hanem olyan új megoldásokba, amivel ez egyébként biztosan előforduló sebezhetőségek nehezebben támadhatóak. Ha pedig nehezebbé, ergo drágábbá válik a támadás, akkor megkérdőjeleződik a létjogosultsága. Ha több a befektetendő költség, mint a várható nyereség, akkor a támadást nem éri meg elindítani.

Az Adobe szakértője saját termékeivel példálózott. Az Acrobat és Reader X verziókban már ott van a védett mód (sandbox), így a már fentebb említett exploitra épülő támadás egyszerűen lepergett a szoftverről, de a 9-es verziójú Acrobat és Reader szoftverekhez sürgősen ki kellett adni egy javítást, hogy a felhasználók és dokumentumaik ne kerülhessenek veszélybe. Az Acrobat és Reader X esetében viszont teljesen nyugodtan a következő menetrend szerinti, januári frissítésen belül elég volt kezelni a problémát.

Könnyen kiüthetőek az olcsó támadók

A cég szerint nem az a biztonsági piac célja, hogy minden egyes sebezhetőségre rámutasson, amit felfedeznek a szoftverben, hanem valóban az, hogy ellehetetlenítse, vagy legalább megnehezítse azok kihasználását. Egy hibát találni viszonylag egyszerű dolog. Erre írni egy exploitot már nehezebb, egy olyan stabil támadást létrehozni, ami minden esetben működik, az pedig még keményebb dió. Ha a biztonsági cégek megteszik azt a szívességet, hogy maguk készítik el az exploitot, akkor a támadóknak már csak a megfelelő csomagolásba kell azt rakni és saját céljaik szerint konfigurálni. A statisztikák egyértelműen mutatják, hogy korreláció van az információk nyilvánosságra hozása és a felhasználókat ért támadások kezdete között.

a címlapról