Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Vklop
Objavljeno: 28.9.2010 | Avtor: Dare Hriberšek | Monitor September 2010 | Teme: varnost

Maribor na varnostnem zemljevidu sveta

Mariborska družba Acros Security je zadnje dni avgusta razburkala svetovno javnost. Govorilo in pisalo se je celo o dnevu nič Microsoftovih Oken. Z lastnim orodjem so v Acrosu preizkusili 220 programov za Okna in praktično v vseh našli varnostne vrzeli. Poimenovali so jih binary planting oz. podtikanje izvršljive kode na daljavo. Že kak teden dni prej so objavili tako ranljivost, povezano z aplikacijo iTunes, in Apple jo je v sodelovanju z njimi že odpravil. Ranljivost je dovoljevala oddaljenemu napadalcu na omrežno mesto podtakniti zlobno knjižnično datoteko ali sparjeno s kako medijsko datoteko. Ko je uporabnik slednjo pognal, so iTunes poskrbeli za zagon in izvajanje "DLLja". Podobno raziskavo so glede ranljivosti programa VMware objavili letos aprila. Zadnje dni so se o njihovem podvigu razpisali mediji, kot so The Register, PC Mag in Computerworld.

Pogovarjali smo se z direktorjem Mitjo Kolškom.

Mitja Kolšek, direktor Acros Security

Mi se ne reklamiramo prav posebej, ker nas tisti, ki so naše potencialne stranke, poznajo. Smo skupina entuziastov, ki se ukvarja z informacijsko varnostjo na robu znanega. Iščemo najbolj skrite varnostne vrzeli v računalniških sistemih in aplikacijah. In radi imamo najtežje izzive.

Imamo šest zaposlenih, vendar je velikost podjetja odvisna od merila po katerem ocenjujemo: po zaposlovanju smo mikro podjetje, po izkušnjah in znanju pa bi rekel, da na področju varnosti veljamo za velike. Prav tako po številu odkritih ranljivosti.

Stanje se pozna na povečanem povpraševanju. Morate se zavedati, da k nam pridejo predvsem tisti, ki imajo resne težave z varnostjo in se jih tudi zavedajo. Take resne težave ima sicer marsikdo, a se jih bodisi ne zaveda ali pa jih želi reševati s kakimi organizacijskimi ukrepi. Takih, ki se zavedajo pomena varnosti, je pa zadnje čase res vedno več. Ljudje smo pač narejeni tako, da šele, ko nam enkrat pade opeka na glavo, začnemo iskati trgovine s čeladami, prej ne.

Praviloma sicer ne moremo razkriti naših strank, a so nam to nekatere vendarle dovolile. Med tujimi lahko omenim Adobe Systems, Ebay, pa RSA Security, med domačimi pa imamo tako dovoljenje od Nove Ljubljanske banke, Elesa, Zavoda za zdravstveno zavarovanje Slovenije, Probanke, Banke Koper in Abanke.

Že od vsega začetka pretežno delamo za ameriške stranke, torej smo bolj popoldanska firma, popoldansko-večerna, če smo čisto natančni. Kar pa zadeva sodelovanje z Microsoftom, smo zdaj intenzivno sodelovali pri iskanju rešitev za celo vrsto težav, ki smo jih nedavno razkrili. Poudariti pa moram, da je v tem primeru šlo za brezplačno sodelovanje, rezultate naše raziskave smo razkrili, da ne bi uporabniki ostali na suhem.

Številni izdelovalci so se že kar navadili na tak volonterski pristop, ker jim mnogi dajejo tovrstne informacije o ranljivostih brezplačno. To ni nič nenavadnega. Mi, ki se s tem ukvarjamo, pač imamo neko družbeno odgovornost, da kot ljudje, ki odkrivamo nevarnosti, za katere še nihče ne ve, pazimo na končne uporabnike. Da ne bi pristali v krempljih ljudi, ki te stvari izrabljajo, in zlasti, da bi se imeli možnost vsaj malo ubraniti pred njimi.

Binary planting je pravzaprav stranski produkt raziskovalnega projekta, ki smo ga začeli že leta 2008 in ga je delno sofinancirala tudi država, a smo jim sredstva nekje na sredini projekta vrnili, ker je bilo preprosto preveč administracije. Kajti ko imaš v rokah pomembno odkritje, se res nimaš časa na veliko ukvarjati s papirji. Tu se stvari dogajajo zelo hitro in take administrativne ovire je treba odstraniti. Kako smo to našli? Razvili smo posebno orodje. Za napako smo sicer vedeli že prej in zanjo je že vsaj deset let vedela vsa varnostna srenja. Njene prisotnosti pa se na prvi pogled ni dalo prav pogosto zaznati. Mi smo jo pri projektih za naše stranke odkrivali vedno znova in smo se na neki točki odločili, da napišemo posebno orodje, ki bi nam pomagalo te ranljivosti iskati, in smo potem z njim pregledali okoli 220 priljubljenih aplikacij, takih, ki so nameščene na silno veliko računalnikih po vsem svetu, in naše orodje je na naše presenečenje odkrilo to napako v 90 %. Če malce zaokrožimo, torej v skoraj vseh. Ko smo videli, da je zadeva resna, smo letos marca o tem obvestili Microsoft. Postalo nam je jasno, da če raziskavo objavimo takoj, Microsoft ne bi imel možnosti izdelati primerne obrambe in uporabniki ne bi imeli nobene možnosti, da se zavarujejo. Zato smo jim predlagali, naj se lotijo pripravljanja neke vsaj zasilne rešitve, in to je to, s čimer je Microsoft danes oziroma včeraj (pogovor je potekal 24. 8. op. a.) prišel na plan.

Najprej je bil dogovor, da pri Microsoftu to rešitev izdelajo v tajnosti, mi pa smo prav tako potrebovali nekaj časa za pripravo naše raziskave za objavo. Pri tem nas je HD malo prehitel in glede na to smo se pač potem odzvali. Ko je on enkrat izdal to informacijo, to ni bila več nobena skrivnost in je bilo jasno, da bodo začeli strokovnjaki nemudoma iskati tovrstne ranljivosti. Ni bilo več razloga za skrivanje.

(Smeh.) Zelo dobro, hvala. Ok, naše orodje opazuje obnašanje procesov in zabeleži ranljivosti, ki jih zazna.

Najverjetneje.

Domači uporabniki so posebna kategorija, ker so premalo usposobljeni in nimajo omrežnih skrbnikov, ki bi jim znali ustrezno nastaviti požarne pregrade. Kar pa zadeva podjetja, kjer je škoda potencialno največja, tam to imajo in lahko ustavijo vse napade, ki pridejo iz interneta. Je pa zelo pametno namestiti popravek, ki ga je včeraj izdal Microsoft, in se malo poigrati z nastavitvami.

Gre za podtikanje DLL knjižnic in izvršljivih datotek, kot so EXE ali COM. Nekateri to isto reč sicer imenujejo tudi spoofing. Mi smo temu dali drugačno ime, ker ne gre samo za datoteke DLL, ne gre samo za knjižnice, gre za vse datoteke, ki vsebujejo kodo. Poleg tega ta razred ranljivosti vsebuje še precej več kot to, o čemer se danes govori, zato želimo s tem izrazom poskrbeti za red. Naloga stroke je namreč tudi poskrbeti za dobra poimenovanja, jasna in intuitivna, zato da se strokovnjaki med sabo o tem kasneje lahko čim bolj učinkovito pogovarjamo. To je ključni razlog za novi izraz.

Odgovorno razkritje ni bilo nikoli dobro definirano. Izraz "odgovorno" so si izmislili izdelovalci programske opreme, da bi napravili vtis, da vse, kar ni brezplačno posredovanje informacij njim, ne velja za odgovorno obnašanje. Pred kakšnim mesecem so se veliki, začenši z Microsoftom, vendarle odločili, da bodo to prakso opustili in poslej v svojih dokumentih takega obnašanja tudi več ne imenujejo odgovorno ali responsible, temveč koordinirano razkritje. Mi se pri tem držimo pravila, da ne smemo povzročati škode končnim uporabnikom. To je ključno. Ne razkrijemo podrobnosti neke ranljivosti, če ta ranljivost še ni odpravljena.

Različno. Cel spekter odgovorov je, od popolne tišine pa do tega, da se zahvalijo. Odvisno, kaj jim želiš dati. Če jim podatke o ranljivostih kar podariš, potem nekateri veliki imajo že procese, da to sprejmejo, se zahvalijo, nekateri te celo obveščajo, kako poteka odpravljanje te ranljivosti. Tak je nedavni primer Appla: na koncu se je zahvalil našemu sodelavcu in našemu podjetju na svoji spletni strani. Ampak odzivi so različni, ni nekega standarda.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • <span><span>Redka zmaga malega rudarja kriptovalut</span></span>

    Redka zmaga malega rudarja kriptovalut

    V času, ko rudarjenje bitcoina obvladujejo velika podjetja s specializirano opremo in ogromnimi viri, je neodvisnemu solo rudarju uspel izjemen podvig. 

    novice
    Objavljeno: 27.7.2025 13:00
  • Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Britansko podjetje KNP iz Northamptonshira, ki se je ukvarjalo s prevozi, je po 158 letih obratovanja zaprlo vrata, zaradi česar je brez dela ostalo 700 ljudi. Razlog ni slabo poslovanje, težke tržne razmere, izgube ali celo poneverbe, temveč precej bolj banalen. Podjetje je opustošil hekerski napad, v katerem so napadalci odnesli podatke o vseh strankah.

    novice
    Objavljeno: 23.7.2025 05:00
  • ChatGPT je bogatejši za pravega raziskovalnega agenta

    ChatGPT je bogatejši za pravega raziskovalnega agenta

    ChatGPT agent je nova generacija digitalnega pomočnika, ki združuje sposobnosti vizualnega in tekstovnega brskanja ter neposredne interakcije z zunanjimi platformami, kot so Google Drive, GitHub in SharePoint.

    novice
    Objavljeno: 18.7.2025 08:00
  • Tehnologija je orodje za množično nadzorovanje

    Tehnologija je orodje za množično nadzorovanje

    Ko je minuli teden kamera na koncertu skupine Coldplay v Bostonu prikazala par, ki objet posluša Chrisa Martina, bi bil lahko to le še eden izmed množice povsem običajnih in dolgočasni prizor. A ker se je ženska na posnetku obrnila proč in obraz zakopal v roke, moški pa se je sklonil pod kader, je posnetek vzbudil veliko pozornosti. Pevec Chris Martin ga je na odru komentiral z besedami, da sta bodisi zelo sramežljiva bodisi razmerje skrivata – in ostalo je bilo zgodovina.

    novice
    Objavljeno: 21.7.2025 05:00
  • <span><span>ChatGPT je slab v šahu</span></span>

    ChatGPT je slab v šahu

    Najboljši šahist sveta Magnus Carlsen je v spletnem dvoboju premagal umetno inteligenco ChatGPT v vsega 53-ih potezah, pri čemer sam ni izgubil niti ene same figure. 

    novice
    Objavljeno: 21.7.2025 09:00
  • <span><span>ChatGPT-5 bo na voljo avgusta</span></span>

    ChatGPT-5 bo na voljo avgusta

    Sam Altman, izvršni direktor OpenAI, je potrdil, da bo model GPT-5 izšel že v začetku avgusta. 

    novice
    Objavljeno: 25.7.2025 09:00
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Julij-avgust 2025 Prelistaj! Spletni nakup Arhiv številk
Julij-avgust 2025

Uvodnik
Strojni svetovni splet

Mnenja
Dočakal sem prihodnost

Nove tehnologije
Koliko hitrosti je dovolj? Povezani na poti Pregon!

Fokus
Elektronski papir v barvah Neznosna lahkost branja RLCD - Renesansa LCD Uvodnik: Strojni svetovni splet

Dosje
Ali androidi sanjajo o električnih ovcah?* Med trirazsežnim navdušenjem in strahom

Monitor Pro
Oblak je temelj digitalne preobrazbe Prihodnost sodelovanja in digitalnih komunikacij Uvodnik - Je oblak vsemogočen?

Na zvezi
Kariera v IT

Zgodovina
Kralj omrežij Mikroračunalniški roboti

Odprta scena
Teleskop kot tveganje za državno varnost Zakaj nas mora skrbeti za prihodnost čipov

Prenosni računalniki
Zmogljivost stane!

Telefoni
Prenovljeni srednji razred

Preizkusi
Kupil sem ZX Spectruma Previdni korak naprej Projektor v žepu

Nasveti
Oblačni triki

Mobilno
Applove nagrade Če hodiš, lahko plešeš Naš izbor na Androidu Naš izbor na iPhonu

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov