Blev tilbudt 10.000 dollars - valgte i stedet at fortælle om Ubuntu-sårbarhed
Ubuntus standard-program til crash-håndtering, Apport, har siden version 12.10 af styresystemet indeholdt en kodemæssig uhensigtsmæssighed, der har gjort det muligt for en angriber at fjerneksekvere kode på systemet, såfremt brugeren eksekverer en særligt udformet fil.
Det kan Zdnet på baggrund af flere skriftlige kilder berette.
Sikkerhedsforsker Donncha O'Cearbhaill har opdaget problemet, som han har skrevet et teknisk detaljeret blogindlæg om.
Her fortæller han, hvordan det siden Ubuntu Desktop 12.10 fra 2012 og frem til december i år, hvor hullet blev patched, har været muligt for en angriber via Apport at eksekvere kode på et sårbart system. I forbindelse med sin research er O'Cearbhaill blevet inspieret af arbejde fra en anden sikkerhedsforsker, Chris Evans. Nærmere bestemt Evans arbejde med at udnytte svagheder i gstreamer-medie-biblioteket, hvilket blandt andet har ramt Ubuntu.
Donncha O'Cearbhaill har fundet frem til, at det via Apport-frameworket har været muligt at injicere Python-kode i Ubuntu Desktop, som så vil blive eksekveret på systemet med brugerrettigheder, hvilket kan være slemt nok.
Sikkerhedsforskeren har lavet en video, som viser, hvordan en bruger henter, hvad der ligner en zip-fil med kattebilleder, hvorefter lommeregner-appen i systemet bliver eksekveret, når brugeren åbner filen.
O'Cearbhaill har også lagt et detaljeret proof-of-concept på GitHub.
En anden sårbarhed
Sikkerhedsforskeren har også fundet en anden sårbarhed, der forværrer ovenstående problem. Det er et path traversal-angreb, som ifølge ZDnet betyder, at hvis brugeren har et numerisk UID mindre end 500 og indtaster sit kodeord ved standard-prompten 'System program problem detected', så bliver det muligt at eksekvere førnævnte Python-angreb med root-rettigheder.
O'Cearbhaill rapporterede problemet til Apport-maintaineren 9. december i år. 14. december blev der frigivet Apport-pakker, hvor problemet var løst.
I sin konklusion fortæller O'Cearbhaill, ganske tankevækkende, om en interessekonflikt, han mener huserer i sikkerhedsbranchen. Der er nemlig virksomheder, der vil betale en del penge for den slags sårbarheder, som han har fundet frem til. Et af de kendte eksempler er den nu hedengangne italienske virksomhed Hacking Team, der selv blev hacket. Dette hack afslørede at Rigspolitiet var blandt Hacking Teams kundekreds.
Der er penge i sårbarhederne, fordi der er en efterspørgsel fra blandt andet cyberkriminelle, efterretningstjenester og politimyndigheder, der af forskellige årsager kan være interesserede i at kunne kompromittere et styresystem. Eksempelvis med aflytning for øje.
»Jeg modtog et bud på mere end 10.000 dollars (ca. 71.500 kroner) fra en sårbarhedsforhandler for disse Apport-bugs. Disse finansielle motivationer øges kun i takt med, at software bliver mere sikkert og bugs bliver sværere at finde,« skriver O'Cearbhaill, der må formodes at have sagt nej til pengene.
Han fortsætter:
»For at forbedre sikkerheden for alle, så bliver vi nødt til at finde en holdbar måde at skabe incitament for forskere til at finde og afsløre problemer og til at få bugs fikset.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
