Zajímavý přístup k problému začal mít Charlie Miller, bezpečnostní specialista, který již několik let po sobě vyhrával Pwn20wn hacking contest, pokaždé kvůli chybám v prohlížeči Safari. Ten také našel více než 20 chyb v software od Apple, Adobe a Microsoftu.
Jeho přístup k této problematice je zajímavý. Ten totiž tvrdí, že nevidí žádný postup v bezpečnosti software. "Najdeme chybu, oni ji opraví," řekl Miller. "Najdeme další chybu, a oni ji opraví. To nevylepší bezpečnost produktu. Pravda, software se tak stává lepším, ale je nutné udělat výrazné vylepšení. Ale nemohu je k tomu přinutit."
Pomocí pár řádků kódů vytvořil malou testovací aplikací, kterou nazval "dump fuzzer", nástroj který automaticky hledá chyby v software tím, že vkládá do vstupů software náhodná data a dívá se, který program selže. Fuzzing je běžná technika používaná nejen vývojáři (a přiznejme si to i hackery) z venčí, ale také vývojáři kteří chtějí zjistit chyby před vypuštěním software. Microsoft používá fuzzing jako část svého vývojářského cyklu (SDL - Security Development Lifecycle).
Millerův fuzzer rychle zjistil 20 chyb v širokém spektru aplikací, stejně jako chyb v Mac OS X 10.6 a Safari. Nalezl také chyby v Microsoft PowerPointu v Adobe PDF Readeru i OpenOffice.org.
Včera Miller přednášel na CanSecWest ve Vancouveru, bezpečnostní konferenci, která také hostuje Pwn20wn, aby demonstroval jak na chyby přišel. Doufal, že Apple, Microsoft a další vývojáři budou poslouchat co jim chce říci.
"Lidé mne kritizují a říkají, že jsem zlý, že nepředám informace o chybách, ale myslím si, že má větší smysl neříkat je," říká Miller. "Co však mohu udělat je sdělit jim způsob jak je najít, a přinutit je tak aby udělali to co jsem udělal já. To je může přinutit udělat další fuzzing testy." To, říká Miller, znamená větší přínos k bezpečnosti software.
Co však velmi zklamalo Millera bylo, jak snadno bylo možné tyto chyby nalézt. "Možná někteří řeknou, že jsem chytrý že jsem našel tyto chyby, a že jsem opravdu špičkou v oboru, ale já nebyl tak chytrý. Udělal jsem triviální práci a stále jsem našel chyby."
Přišel s tímto projektem s předpokladem, že nenajde žádné chyby s dump fuzzerem. "Ale našel jsem je, a bylo jich hodně. To bylo jak překvapivé, tak skličující." A také si začal klást otázku, proč společnosti jako Microsoft, Apple či Adobe, kteří mají týmy bezpečnostních expertů a hromady hardware, které umí dělat fuzzing nenašli tyto chyby již dávno.
Jeden člověk se třemi počítači by neměl být schopen porazit snahy celých týmů, argumentuje Miller. "To neznamená, že fuzzing není prováděn, to jen znamená, že jej nedělají příliš dobře."
Tím že Miller odmítá sdělit technické informace o chybách, které našel, Miller sází na to, že Microsoft, Apple a další budou duplikovat jeho práci a možná, možná, možná budou motivováni k lepším výsledkům. "Myslím, že pocítí určité tlaky kvůli nalezení těchto chyb." řekl.
Miller použil jednu z těchto chyb, aby se včera dostal do Safari na MacBooku Pro a tak odešel s notebookem, 10 000 dolary a letenkou do Las Vegas na letní DefCon.
Miller získal ceny v Pwn20wn v letech 2008 i 2009, pokaždé zneužitím chyby Safari na Macovi.
Upřímně řečeno Millerovi se moc nedivím. Ještě si vzpomínám, že když nám jeden pan profesor povídal o Solarisu, že bezpečnost všech systémů je mizerná, nejdříve opraví bezpečnostní chybu, kterou někdo zneužil, pak vydají aktualizaci systému, aby jste nakonec zjistili, že vyměnili vývojáře a ten na stejném místě ve stejném programu udělal tutéž chybu (protože nepochopil ošetření chyby předchozím vývojářem a toto ošetření zrušil).
Ale abychom jenom nepomlouvali Apple a Safari, také Microsoft má máslo na hlavě s Internet Explorerem 8, který byl prolomen první den. Firefox měl chybu v 64-bitové verzi pro Windows 7. Bohužel se objevila i chyba umožňující stahovat z iPhone data bez vědomí uživatele.
Odkazy z novinek:
