Virusværktøjer gør åbenhed mere risikabelt

Virusgrupperne overlader i højere grad arbejdet med at finde sårbarheder til sikkerhedseksperter. Nu må eksperterne overveje, om fuld åbenhed er klogt.

Den nye kriminelle underverden på internettet, der slipper virus løs, er mere til automatisering og avancerede værktøjer end til på egen hånd at finde frem til sårbarheder i software.

Derfor venter de på, at sikkerhedseksperter frigiver detaljer om kendte sårbarheder, som de så kan basere et angreb på og angribe de brugere, der ikke har opdateret.

Tidligere var virusprogrammørerne ofte også dem, der selv forsøgte at finde frem til sårbarheder, men det har ændret sig, skriver IBM Internet Security Systems i dets kommende statusrapport ifølge nyhedsbureauet AP.

»Skurkene er ikke dem, der finder sårbarheder. De har ændret deres forretningsmetode, så de nu bygger videre på sikkerhedsmiljøets arbejde,« siger afdelingschef Kris Lamb fra IBM til AP.

Det betyder, at sikkerhedseksperterne bør overveje, hvor hurtigt de skal frigive information om en ny sårbarhed, og hvor mange detaljer de skal afsløre.

Ifølge IBM-rapporten er det blevet mere almindeligt, at sikkerhedseksperter ikke blot frigiver oplysninger om en sårbarhed, men i mange tilfælde også eksempler på kode, der kan udnytte den.

Det gør det let for de kriminelle at tilpasse eksempelkoden til et egentligt exploit, der kan bruges i de værktøjer, som bruges til at lave nye varianter af ondsindede programmer.

Fortalerne for den større åbenhed hævder, at det er med til at lægge pres på softwareleverandørerne, så de gør mere ud af sikkerheden omkring deres software, skriver AP.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Henrik Kramselund Jereminsen Blogger

"Ifølge IBM-rapporten er det blevet mere almindeligt, at sikkerhedseksperter ikke blot frigiver oplysninger om en sårbarhed, men i mange tilfælde også eksempler på kode, der kan udnytte den."

Mere almindeligt?

Der HAR vi været, udviklingen HAR været at man frigav både information og proof-of-concept. Henover årene blev det så erkendt at man indimellem fik problemer ud af den model og mange valgt at følge i RFPs fodspor med responsible disclosure hvor leverandørerne får lidt ekstra tid. Mange har endda valgt IKKE at frigive kørende kode mod sårbarheder som de publicerer.

Så det er altså en bølgen frem og tilbage, hvor man idag ser begge dele. Respekt til begge lejre, for argumenterne er gode i begge lejre.

Summasummarum, der kommer altid kørende kode ud på internet og jeg ser som sådan ingen ændring i trenden. ... og mere vigtigt resultatet er det samme, der KOMMER kørende kode ret hurtigt efter de fleste advisories, uanset om eksperten der finder og publicerer selv laver koden eller andre gør det.

  • 0
  • 0
#2 Jesper Stein Sandal

Arh, Henrik - jeg er ikke helt enig med dig. Ja, modellen har vi selvfølgelig set i flere år, men:

Der bliver frigivet detaljer om et større antal sårbarheder i dag end for få år siden. Og det går stærkere.

Jeg er enig med IBM-folkene i, at det måske er tid til, at visse researchers tager værdien af processen op til fornyet overvejelse.

Der er mange sårbarheder, hvor det er helt fint at få alle kort på bordet. Men der er også mange sårbarheder, hvor kunderne ikke får noget ud af, at en sikkerhedskonsulent offentliggør alle detaljer for at polere sit ego.

Sårbarheder i visse PHP-moduler for eksempel. Her har leverandøren ikke mulig for at pushe en opdatering eller endda orientere alle kunder om, at der er udsendt en kritisk opdatering. Simpelthen fordi det er umuligt at kende til alle systemer, der benytter den sårbare komponent.

Det er fint nok at frigive detaljer om sårbarheder i Windows, Adobe Reader, Mac OS X, Firefox osv. For her er processen omkring opdatering forholdsvis lige til. Men der er også mange andre applikationer og styresystemer, hvor det ikke er så lige til, og dér bør man som ansvarlig sikkerhedsekspert tænke sig om.

Jeg ser rigtigt mange exploits og advisories, som bruges mere som PR-stunt end som middel til at skabe mere sikker software eller beskytte brugerne.

Obscurity er ikke selvfølgelig ikke en løsning, men der er vel ingen grund til ligefrem at hjælpe de kriminelle på vej?

  • 0
  • 0
Log ind eller Opret konto for at kommentere