11:26
19/5/2010

Chińscy szpiedzy pracują w Google?

Dzisiejszy dzień zaczynamy od czterech arcyciekawych cytatów Iry Winklera, specjalisty od szpiegostwa przemysłowego, który swoją karierę zaczynał w NSA. Cytaty przeplatamy własnymi przemyśleniami w danym temacie.

“Hacking Google? They’re already inside Google. Why do they have to hack them?”

Powyższe słowa padły na konferencji RSA Conference 2010, gdzie Ira uznał atak na Google za “śmiechu warty”. Według niego, Chińczycy nie muszą atakować w skomplikowany sposób “od zewnątrz”, bo od dawna są już “w środku” — i nie chodzi tu tylko o Google. Dowodów oczywiście, Ira nie zaprezentował… ;-)

You are being watched!

“Many companies, when you actually do an audit on them, they’re not running the latest version of whatever operating system they have.”

Ekipa Niebezpiecznika zna to z autopsji. Wiele firm, z którymi współpracujemy ma przyjętą politykę aktualizacji. Wstrzymują się z automatycznym aplikowaniem poprawek, dopóki sami nie przetestują, czy patch będzie kompatybilny z ich autorskimi systemami. Czasem testy potrafią trwać kilka tygodni… ale dzięki temu unika się takich sytuacji jak ostatnia wpadka antywirusa McAfee, który po updacie zepsuł 800 tysięcy maszyn. Nie zawsze szybkie łatanie jest najlepszym rozwiązaniem…

Między innymi z tego powodu Microsoft idzie na rękę większym firmom i wydaje poprawki zbiorcze w regularnych odstępach czasu (Patch Tuesday) — wyobraźcie sobie, co by było, gdybyście codziennie musieli testować nowy patch… syzyfowa praca.

“We don’t have proactive-based defenses from zero day attacks”

Większość systemów ochrony przed włamaniami/zagrożeniami opiera się na modelu sygnaturowym. Mamy znany atak, układamy na niego “wzorzec”, aktywujemy i szukamy ponownego wystąpienia danego wzorca, co zasugeruje nam, że atak ponownie ma miejsce. Minus? Tym podejściem nie ochronimy naszych zasobów przed 0day’ami, czyli zagrożeniami, o których jeszcze nie wiedzą nasze systemy.

Na marginesie, rynek 0day’ów jest ciekawy… vulnerability researchers znajdują błędy, a po ich znalezieniu mają 4 wyjścia:

  1. Responsible disclosure, czyli powiadomienie producenta, odczekanie czasu potrzebnego na jego testy i potwierdzenie podatnosci i w koncu wypuszczenie patcha, z creditsami w change-logu. Znalazca błędu czasem dostanie w podzięce za swoją pracę reklamową czapeczkę ale w większości przypadków nie dostanie niczego, poza dziękuję (a i to czasem się nie zdarza). M.in. z tego powodu ruszyła kampania No more free bugs.
  2. Full disclosure, czyli opublikowanie szczegółowych informacji o błędzie na jednej z list dyskusyjnych. Jednocześnie o luce dowiaduje się producent danego oprogramowania (o ile czyta daną listę) jak i rosyjski właściciel botnetu. Czas start! Producent zaczyna w pośpiechu łatać (i nagle okazuje się, że można szybko znaleźć zasoby i środki na security i w miarę sprawnie testować i wypuszczać patche), w tym samym czasie właściciel botnetu do swojego exploit packa dodaje nowy atak, bazujący na opublikowanych informacjach. Co pierwsze dotrze do użytkowników, patch czy exploit? Wyścig trwa!
  3. Licytacja. Szczątkowe informacje o błędach można wystawić na aukcję. Cena wywoławcza np. 1 000 EUR. Producent oferuje 1 050 EUR, a rosyjski właściciel botnetu podbija do 2 000 EUR… wygrywa ten, kto ma więcej pieniędzy. Znalazca błędu napełnia kieszenie i śpi spokojnie, albo leczy moralnego kaca.
  4. Sprzedaż. Sporo firm skupuje exploity (np. 3Com ZDI, iDefence). Zapłacą dopiero, kiedy przetestują zgłoszoną lukę i upewnią się, że jest “interesująca” (generalnie, pozwala na zdalny atak i dotyczy znanego oprogramowania). Takie firmy odsprzedają później exploita z dodatkowymi informacjami do producenta, oczywiście za wyższą cenę. Tajemnicą poliszynela jest odsprzedaż exploitów także do instytucji rządowych… zapewne nie zawsze sojuszniczych, ale biz is biz!

“We’re generally screwed. They are constantly innovating. But what we can do is be more aware of what’s going on.”

A to jest jedna z rozsądniejszych wypowiedzi obrazujących rynek bezpieczeństwa. Zgadzamy się w 99,9% ;-)

P.S. Przy okazji, skrót NSA w niektórych żartobliwie nie jest rozwijany do National Security Agancy a do No Such Agency albo Never Say Anything ;)

Przeczytaj także:

13 komentarzy

Dodaj komentarz
  1. “Path Tuesday” ;)

  2. Z tym atakowaniem od środka – to jak teraz pomyślę o tym do czego jako stosunkowo zwykły i przeciętny pracownik Microsoft mam dostęp – to faktycznie aż strach pomyśleć o tym co mógłby zrobić ktoś z określonymi intencjami, który do firmy przyjmuje się w jednym określonym celu.

    Wtedy faktycznie spojrzenie na temat włamywania się do firm z zewnątrz wydaje się być zupełnie nie opłacalny!

    A propos Patch Tuesday – to chyba naprawdę jedyne rozsądne rozwiązanie, aby wydawać takie poprawki raz w miesiącu, a tylko w wypadku naprawdę krytycznych spraw robic wydanie specjalne. I tu wydaje mi się, że Microsoft w tej polityce naprawdę dobrze to zorganizował.

    I jeszcze przy okazji aktualizacji systemów do nowszych wersji. Nie raz spotkałem się z podejściem typu – wdrażamy nowe OS dopiero jak wyjdzie do nich pierwszy Service Pack :)

  3. Stary kawał ale coś w tym jest
    Jak Chińczycy włamali się do Google?
    Każdy spróbował wpisać hasło.

  4. Hm, przypomniały mi się słowa kolegi ze studiów, gdy rozwiązywał zadanie przy tablicy: “Dla każdej pary (x, y, z)…” Mam trzy wyjścia: wyjaśnić to skojarzenie albo go nie wyjaśnić. :-)

  5. “trzy wyjścia:”
    1. Responsible disclosure;
    2. Full disclosure;
    3. Licytacja;
    4. Sprzedaż

    Pozdrawiam

  6. “Między innymi z tego powodu Microsoft idzie na rękę większym firmom i wydaje poprawki zbiorcze w regularnych odstępach czasu (Patch Tuesday) — wyobraźcie sobie, co by było, gdybyście codziennie musieli testować nowy patch… syzyfowa praca. ”

    Oczywiście nie jest to pójście na rękę. Chyba bardziej odpowiednie byłoby ‘zrzucenie’ odpowiedzialności za patchowanie i testowanie na użytkownika/administratora. Jeżeli chce to robic każdego dnia jak pojawi się łatka – proszę bardzo, jeżeli chce robić raz w miesiącu to również ma taką możliwość.

  7. Trzy, bo w sumie licytacja to też sprzedaż ;-) No i jeszcze literówka:
    “skrót NSA w niekótrych żartobliwie”

  8. Fajnie by było gdyby cytaty w języku angielskim zostałyby przetłumaczone. Nie każdy na tyle zna angielski. Czy gdyby wypowiedział się niemiecki ekspert, też cytat byłby bez tłumaczenia? Swoją drogą dziwi mnie ta ostatnia moda “ctrl+c” -> “ctrl+v”.

  9. >> Chińczycy nie muszą atakować w skomplikowany sposób “od zewnątrz”, bo od dawna są
    >> już “w środku”

    to dlaczego zaatakowali?

  10. @mymy:
    a moze to nie oni? :P

  11. […] tagi html i nie są one w żaden sposób filtrowane… Ten wpis jest zgodny z ideą responsible disclosure. Opisywana poniżej luka została zgłoszona do administracji serwisu i jest już […]

  12. […] jest na tyle kusząca, że twórcy exploitów pewnie zastanowią się, czy chcą przechodzić przez “trudy” sprzedawania exploita na czarnym rynku, czy wolą go oddać producentowi i otrzymać “bezproblemową” […]

  13. […] Bardzo nierozsądnie byłoby stwierdzić, że inne kraje nic nie robią w tej materii. Niemcy wprost ogłaszają stanowiska dla twórców rządowych trojanów. Chiny już dawno przyznały, że mają kilkudziesięcio osobową wojskową jednostę ds. “bezpieczeństwa” komputerowego. U korzeni tych wszystkich działań muszą jednak znajdować się exploity na podatności 0day — te albo pisze się samemu, albo — co jest bardziej ryzykowne — skupuje na rynku. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: