Mellékleteink: HUP | Gamekapocs
Keres

Az év legnagyobb biztonsági bukásai

Gálffy Csaba, 2013. augusztus 05. 10:20
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A héten kiosztották az egyik legrangosabb IT-biztonsági díjat a las vegas-i BlackHat USA konferencián. A Pwnie Awards 2012 a tavaly júliustól idén júliusig nyilvánosságra került legjobb "műveket" jutalmazta.

A legjobb szerveroldali biztonsági rés díját Ben Murphy vihette haza a Ruby on Rails YAML-bemenetek súlyos hibájáért. Néhány hiba együttes eredményeként előálló biztonsági rés minden létező RoR-telepítést érintett, kihasználásával tetszőleges SQL-parancs vagy bármilyen egyéb kód injektálható és futtatható volt a rendszereken.

A legjobb kliensoldali hiba az Adobe Reader puffertúlcsordulás és sandbox-kitörés kombinációjáért járt, amely megfelelően preparált PDF-állományokkal használható ki. A kategóriában igen erős volt a mezőny - jegyzi meg a BuheraBlog, az idei jelöltek vagy Pwn2Own/Pwnium győztesek voltak, vagy ipari/államtitkokat nyúltak le a segítségükkel, [a győztes] olyan gyöngyszemeket utasított maga mögé, mint egy másik célzott támadásban bevetett, kifinomult heap-manipulációt használó Flash exploit, a VUPEN IE10/Win8 kombót legyűrő gyöngyszeme, vagy az MWR Chrome törése."

A legjobb jogosultság-kiterjesztést eredményező hiba az evasion iOS-jailbreak alapját képezi, és a mobil operációs rendszer 6.1.2-es verziója fölött is képes átvenni az irányítást. A jóindulatú törést a kiadást követő néhány napban hétmillióan töltötték le, az Apple-kontrolltól megszabadított iPhone-ok, iPod touch-ok és iPadek száma pedig több millióra rúg. Az igen népszerű jailbreaket az Apple hibás aláírás-ellenőrzése és kernel-sérülékenység együtt tette lehetővé.

Epic fail

Az epic fail kategóriában a lengyel IT-biztonsági lap, a Hakin9 kapott díjat, miután lehozott egy számítógéppel generált, teljesen értelmetlen tanulmányt. A dolgozat címe The Internet Considered Harmful - DARPA Inference Checking Kludge Scanning, amelyre a "szerzők" később csak a rövidítéseként ("DICKS") hivatkoznak. A Hakin9 magazin biztonsági szakértők körében hírhedt kiadványnak számít, folyamatos spammeléssel igyekszik szerzőket gyűjteni, a dolgozatokat pedig sokszor alapvető szakmai kontroll nélkül, akár elolvasás nélkül publikálja. Erre hívta fel a figyelmet a dolgozat - amely PDF-formában itt érhető el az utókor számára.

A legnagyobb törés (Epic 0wnage) kategóriában Edward Snowden és az amerikai NSA (National Security Agency) kapta. A zsűri szerint Snowden húzása, a PRISM és hasonló titkos adatgyűjtő rendszerek bemutatása kiváló példája a belső alkalmazottak által jelentette biztonsági résnek, amely ebben az esetben egész látványos szivárgássá terebélyesedett és sikerrel publicizálta az amerikai hírszerzés megkérdőjelezhető módszereit - ezért járt az év legkárosabb, legnagyobb nyilvánosságot kapó (vagy legszánalmasabb) biztonsági incidensnek járó díj.

A díjazottak listája itt, a jelölteké pedig itt érhető el.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.