Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Vklop
Objavljeno: 28.9.2010 | Avtor: Dare Hriberšek | Monitor September 2010 | Teme: varnost

Maribor na varnostnem zemljevidu sveta

Mariborska družba Acros Security je zadnje dni avgusta razburkala svetovno javnost. Govorilo in pisalo se je celo o dnevu nič Microsoftovih Oken. Z lastnim orodjem so v Acrosu preizkusili 220 programov za Okna in praktično v vseh našli varnostne vrzeli. Poimenovali so jih binary planting oz. podtikanje izvršljive kode na daljavo. Že kak teden dni prej so objavili tako ranljivost, povezano z aplikacijo iTunes, in Apple jo je v sodelovanju z njimi že odpravil. Ranljivost je dovoljevala oddaljenemu napadalcu na omrežno mesto podtakniti zlobno knjižnično datoteko ali sparjeno s kako medijsko datoteko. Ko je uporabnik slednjo pognal, so iTunes poskrbeli za zagon in izvajanje "DLLja". Podobno raziskavo so glede ranljivosti programa VMware objavili letos aprila. Zadnje dni so se o njihovem podvigu razpisali mediji, kot so The Register, PC Mag in Computerworld.

Pogovarjali smo se z direktorjem Mitjo Kolškom.

Mitja Kolšek, direktor Acros Security

Mi se ne reklamiramo prav posebej, ker nas tisti, ki so naše potencialne stranke, poznajo. Smo skupina entuziastov, ki se ukvarja z informacijsko varnostjo na robu znanega. Iščemo najbolj skrite varnostne vrzeli v računalniških sistemih in aplikacijah. In radi imamo najtežje izzive.

Imamo šest zaposlenih, vendar je velikost podjetja odvisna od merila po katerem ocenjujemo: po zaposlovanju smo mikro podjetje, po izkušnjah in znanju pa bi rekel, da na področju varnosti veljamo za velike. Prav tako po številu odkritih ranljivosti.

Stanje se pozna na povečanem povpraševanju. Morate se zavedati, da k nam pridejo predvsem tisti, ki imajo resne težave z varnostjo in se jih tudi zavedajo. Take resne težave ima sicer marsikdo, a se jih bodisi ne zaveda ali pa jih želi reševati s kakimi organizacijskimi ukrepi. Takih, ki se zavedajo pomena varnosti, je pa zadnje čase res vedno več. Ljudje smo pač narejeni tako, da šele, ko nam enkrat pade opeka na glavo, začnemo iskati trgovine s čeladami, prej ne.

Praviloma sicer ne moremo razkriti naših strank, a so nam to nekatere vendarle dovolile. Med tujimi lahko omenim Adobe Systems, Ebay, pa RSA Security, med domačimi pa imamo tako dovoljenje od Nove Ljubljanske banke, Elesa, Zavoda za zdravstveno zavarovanje Slovenije, Probanke, Banke Koper in Abanke.

Že od vsega začetka pretežno delamo za ameriške stranke, torej smo bolj popoldanska firma, popoldansko-večerna, če smo čisto natančni. Kar pa zadeva sodelovanje z Microsoftom, smo zdaj intenzivno sodelovali pri iskanju rešitev za celo vrsto težav, ki smo jih nedavno razkrili. Poudariti pa moram, da je v tem primeru šlo za brezplačno sodelovanje, rezultate naše raziskave smo razkrili, da ne bi uporabniki ostali na suhem.

Številni izdelovalci so se že kar navadili na tak volonterski pristop, ker jim mnogi dajejo tovrstne informacije o ranljivostih brezplačno. To ni nič nenavadnega. Mi, ki se s tem ukvarjamo, pač imamo neko družbeno odgovornost, da kot ljudje, ki odkrivamo nevarnosti, za katere še nihče ne ve, pazimo na končne uporabnike. Da ne bi pristali v krempljih ljudi, ki te stvari izrabljajo, in zlasti, da bi se imeli možnost vsaj malo ubraniti pred njimi.

Binary planting je pravzaprav stranski produkt raziskovalnega projekta, ki smo ga začeli že leta 2008 in ga je delno sofinancirala tudi država, a smo jim sredstva nekje na sredini projekta vrnili, ker je bilo preprosto preveč administracije. Kajti ko imaš v rokah pomembno odkritje, se res nimaš časa na veliko ukvarjati s papirji. Tu se stvari dogajajo zelo hitro in take administrativne ovire je treba odstraniti. Kako smo to našli? Razvili smo posebno orodje. Za napako smo sicer vedeli že prej in zanjo je že vsaj deset let vedela vsa varnostna srenja. Njene prisotnosti pa se na prvi pogled ni dalo prav pogosto zaznati. Mi smo jo pri projektih za naše stranke odkrivali vedno znova in smo se na neki točki odločili, da napišemo posebno orodje, ki bi nam pomagalo te ranljivosti iskati, in smo potem z njim pregledali okoli 220 priljubljenih aplikacij, takih, ki so nameščene na silno veliko računalnikih po vsem svetu, in naše orodje je na naše presenečenje odkrilo to napako v 90 %. Če malce zaokrožimo, torej v skoraj vseh. Ko smo videli, da je zadeva resna, smo letos marca o tem obvestili Microsoft. Postalo nam je jasno, da če raziskavo objavimo takoj, Microsoft ne bi imel možnosti izdelati primerne obrambe in uporabniki ne bi imeli nobene možnosti, da se zavarujejo. Zato smo jim predlagali, naj se lotijo pripravljanja neke vsaj zasilne rešitve, in to je to, s čimer je Microsoft danes oziroma včeraj (pogovor je potekal 24. 8. op. a.) prišel na plan.

Najprej je bil dogovor, da pri Microsoftu to rešitev izdelajo v tajnosti, mi pa smo prav tako potrebovali nekaj časa za pripravo naše raziskave za objavo. Pri tem nas je HD malo prehitel in glede na to smo se pač potem odzvali. Ko je on enkrat izdal to informacijo, to ni bila več nobena skrivnost in je bilo jasno, da bodo začeli strokovnjaki nemudoma iskati tovrstne ranljivosti. Ni bilo več razloga za skrivanje.

(Smeh.) Zelo dobro, hvala. Ok, naše orodje opazuje obnašanje procesov in zabeleži ranljivosti, ki jih zazna.

Najverjetneje.

Domači uporabniki so posebna kategorija, ker so premalo usposobljeni in nimajo omrežnih skrbnikov, ki bi jim znali ustrezno nastaviti požarne pregrade. Kar pa zadeva podjetja, kjer je škoda potencialno največja, tam to imajo in lahko ustavijo vse napade, ki pridejo iz interneta. Je pa zelo pametno namestiti popravek, ki ga je včeraj izdal Microsoft, in se malo poigrati z nastavitvami.

Gre za podtikanje DLL knjižnic in izvršljivih datotek, kot so EXE ali COM. Nekateri to isto reč sicer imenujejo tudi spoofing. Mi smo temu dali drugačno ime, ker ne gre samo za datoteke DLL, ne gre samo za knjižnice, gre za vse datoteke, ki vsebujejo kodo. Poleg tega ta razred ranljivosti vsebuje še precej več kot to, o čemer se danes govori, zato želimo s tem izrazom poskrbeti za red. Naloga stroke je namreč tudi poskrbeti za dobra poimenovanja, jasna in intuitivna, zato da se strokovnjaki med sabo o tem kasneje lahko čim bolj učinkovito pogovarjamo. To je ključni razlog za novi izraz.

Odgovorno razkritje ni bilo nikoli dobro definirano. Izraz "odgovorno" so si izmislili izdelovalci programske opreme, da bi napravili vtis, da vse, kar ni brezplačno posredovanje informacij njim, ne velja za odgovorno obnašanje. Pred kakšnim mesecem so se veliki, začenši z Microsoftom, vendarle odločili, da bodo to prakso opustili in poslej v svojih dokumentih takega obnašanja tudi več ne imenujejo odgovorno ali responsible, temveč koordinirano razkritje. Mi se pri tem držimo pravila, da ne smemo povzročati škode končnim uporabnikom. To je ključno. Ne razkrijemo podrobnosti neke ranljivosti, če ta ranljivost še ni odpravljena.

Različno. Cel spekter odgovorov je, od popolne tišine pa do tega, da se zahvalijo. Odvisno, kaj jim želiš dati. Če jim podatke o ranljivostih kar podariš, potem nekateri veliki imajo že procese, da to sprejmejo, se zahvalijo, nekateri te celo obveščajo, kako poteka odpravljanje te ranljivosti. Tak je nedavni primer Appla: na koncu se je zahvalil našemu sodelavcu in našemu podjetju na svoji spletni strani. Ampak odzivi so različni, ni nekega standarda.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Severna Koreja s kriptovalutami in lažnimi zaposlenimi nakradla milijarde

    Severna Koreja s kriptovalutami in lažnimi zaposlenimi nakradla milijarde

    Za razliko od praktično vseh ostalih držav se Severna Koreja v veliki meri zanaša na internetni kriminal in kriptoprevare za financiranje delovanja države in izogibanje sankcijam. Tudi eden večjih letošnjih vdorov, ko so neznanci z borze Bybit ukradli za poldrugo milijardo dolarjev kriptovalute ether, je bil plod Severne Koreje.

    novice
    Objavljeno: 27.10.2025 07:00
  • Zakaj nihče ne mara Applovih in Samsungovih tankih telefonov?

    Zakaj nihče ne mara Applovih in Samsungovih tankih telefonov?

    Applov najnovejši in najtanjši iPhone Air, ki v debelino meri le dobrih pet milimetrov in tehta 165 gramov, je čudo tehnike, a ga začuda ljudje niso radostno sprejeli. Medtem ko se iPhone 17 Pro in iPhone 17 Pro Max prodajata rekordno, klasični iPhone 17 pa prav tako žanje visoke številke, iPhone Air zapostaja.

    novice
    Objavljeno: 20.10.2025 05:00
  • Nvidia: Kitajska je za nas mrtva

    Nvidia: Kitajska je za nas mrtva

    Nvidijin direktor Jensen Huang je dejal, da je tržni delež podjetja na Kitajskem hitro padel s 95 odstotkov na ničlo. To ni presenetljivo, saj izvoz na Kitajsko prepoveduje kar ameriška administracija. A to v resnici ni čisto res, saj po drugi strani več kot četrtino prodaje predstavlja izvoz v Singapur – od koder na Kitajsko vodijo neuradne poti.

    novice
    Objavljeno: 20.10.2025 07:00
  • <span><span>Popolnoma drugačno električno kolo</span></span>

    Popolnoma drugačno električno kolo

    Rivianovo hčerinsko podjetje Also, specializirano za mikromobilnost, je predstavilo inovativno električno kolo TM-B (Transcendent Mobility - Bike), ki obljublja povsem novo izkušnjo vožnje. 

    novice
    Objavljeno: 23.10.2025 16:00
  • V Londonu vam bodo verjetno ukradli telefon

    V Londonu vam bodo verjetno ukradli telefon

    Samo v lanskem letu so v Londonu ukradli 80.000 pametnih telefonov, kar je v milijonski metropoli sicer malo, a vseeno precej več kot v drugih podobno velikih mestih v Evropi. In približno tretjino več kot leto pred tem. Trend je torej zaskrbljujoč.

    novice
    Objavljeno: 23.10.2025 05:00
  • <span><span>Windows bo umetni inteligenci dovolil dostop do lokalnih datotek</span></span>

    Windows bo umetni inteligenci dovolil dostop do lokalnih datotek

    Microsoft bo v operacijski sistem Windows 11 uvedel novo funkcionalnost umetne inteligence, imenovano Copilot Actions, ki omogoča izvajanje nalog na lokalno shranjenih datotekah. 

    novice
    Objavljeno: 17.10.2025 08:00
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

November 2025 Prelistaj! Spletni nakup Arhiv številk
November 2025

Uvodnik
Vedno je kriv DNS!

Mnenja
Balon pušča Pro et contra – običajni ali tanki telefoni?

Fokus
Uvodnik: Vedno je kriv DNS! V katero smer nese svetlobni žarek?

Dosje
Ko članek shranimo za kasneje Nevarnost v naročju

Monitor Pro
Agenti UI v boju proti eksploziji kibernetskih groženj Branjenje obzidja je stvar preteklosti Hrbtenica digitalne odpornosti

Na zvezi
Kariera v IT, Roman Thaler, CODATIVITY Software Solutions

Zgodovina
Larry Ellison - Od reveža do bogataša Zgodovina telekomunikacij v Sloveniji - Terminalska omrežja

Odprta scena
Ranljivi jeziki so obsojeni na počasno smrt

Prenosni računalniki
Naredi sam prenosnik

Telefoni
Sveži zrak Tanek, hiter in … drag! Umetna inteligenca povsod

Preizkusi
500-tica s plusom Domači oblak

Nasveti
Prestopni iOS Super mikroračunalniki za mobilne projekte Umetna inteligenca za delovni vsakdan

Mobilno
Androidni intervali Naš izbor na Androidu Naš izbor za iPhone Z aplikacijo proti povišanemu krvnemu tlaku

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov