Od czasu prawie słynnej ‘olimpiady hakerów’ zaproponowanej przez jedną z polskich firm nie wypowiadałem się. Nic nie wiem na temat olimpiady, chyba ucichło. Ok, ale nie o tym będę dziś mówić. Pozostawimy turnieje w spokoju. Nadszedł czas, aby podzielić się z Wami moimi odczuciami dotyczącymi ostatnich wydarzeń.
To tyle, jeśli chodzi o żarty. Zaczynamy!
Jak wiecie, najważniejszym jest powstanie firmy Eleytt – obecnie prowadzone
są negocjacje z kilkoma potężnymi firmami, w przeciągu kilku tygodni
najprawdopodobniej przedstawimy sytuację bliżej (może wcześniej). W Eleytt
pracuje kilka osób spoza naszego kraju. Niedawno Shyaam Sundhar udzielał na konferencji DEFCON wywiadu dotyczącego naszych prac i planów na przyszłość.
Nasi przedstawiciele będą także najprawdopodobniej obecnie na najbliższej
konferencji HITB (być może także na kilku innych, mniejszych). Mamy także kilka większych planów, które jednak (póki co) pozostaną tajemnicą.
Zapraszamy do współpracy także polskie firmy, które zainteresowane
są tematyką bezpieczeństwa aplikacji, bezpieczeństwem e-biznesu oraz pracami
badawczymi w dziedzinie bezpieczeństwa. Eleytt jest otwarte na propozycje
współpracy.
Jeśli mowa o ostatnich błędach, to większość luk, które znaleźliśmy w ostatnim
czasie nie zostało jeszcze upublicznionych. Chcemy w najlepszy możliwy sposób
chronić naszych klientów, proponujemy nasze rozwiązania, w najbliższym czasie
można oczekiwać większej ilości advisory. I tu właśnie jest miejsce na krótkie
nawiązanie do bardzo ważnej ideologicznie (oraz medialnie, przynajmniej,
moim zdaniem) wiadomośći prosto z SecurityFocus:
“Limited zero-day disclosure gets thumbs up”
Co to oznacza?
Jeśli firma wydaje łatkę dla swojego klienta, udostępnia, de facto, informacje
o luce, pozwalające specjalistom od RE na zidentyfikowanie luki i napisanie
exploita. “Thumbs up!”, czyli TippingPoint ma prawo to robić! My się z tego
cieszymy, popieramy “Thumbs up!” A jako “Rule of Thumb” – czasami lepiej być
ostrożnym? Te całe “thumbs up!” jest jednak jeszcze, w moim przekonaniu,
w powijakach. Nawet w Stanach Zjednoczonych.
Ostatnia nasza wykryta luka to:
Microsoft Windows Calendar ICS File Denial of Service Vulnerability
http://www.securityfocus.com/bid/25201
Jest o tyle ciekawa, że Windows Calendar jest dostępny w Viscie, a luka umożliwia właściwie blokadę korzystania z tej funkcjonalności. Nie jest tak jednak do końca, ponieważ istnieje jeden środek znacznie utrudniający exploitację podatności.
Informacja o błędzie została upubiczniona po konsultacjach z Microsoft Security
Response Center, które szybko i profesionalnie zareagowało na doniesienie.
Na koniec – krótki opis naszego działania. Jak wiecie, wprowadziliśmy
akcję “Sprawdź, czy masz mocny Web” :
Sprawdź Czy Masz Mocny Web!
Chciałbym zachęcić firmy do weryfikacji poziomu bezpieczeństwa swoich rozwiązań. Myślę, że należy spojrzeć trochę w przyszłość – zauważymy wtedy jak ważne jest bezpieczeństwo. Postramy się Państwu udowodnić jak wiele może potencjalny
napastnik i jak ważne jest zapobieganie problemom. Sprawdź, czy masz mocny web!
Serdecznie pozdrawiam,
Michał Bućko
www.eleytt.com