Kozika strona (i domowe piwko)

ARAKIS - żółw czy po prostu nieskuteczność?

24 styczeń 2008, autorstwa: kozik

CERT Polska pisze, że ich ARAKIS wykrył 18 stycznia 2008 r. wykorzystywanie exploita na lukę w MyBB 1.2.10… to są niesłychanie szybcy lub niesłychanie skuteczni, bo exploit ten chodzi w sieci od mniej więcej czerwca-lipca 2007 roku! Nie był wtedy jeszcze opublikowany na np. Milw0rmie - po prostu “korporacje” z Rosji używały go raczej po cichu do budowania mniejszych czy większych botnetów z serwerów WWW. Dodam również, że luka załatana została 8 stycznia. NASK chyba nad tym ARAKIS-em powinien jeszcze popracować… ale doceniamy, doceniamy :) .

BTW. Proszę się nie sugerować treścią newsa na CERT Polska, że “Zaledwie dwa dni wcześniej upubliczniono informację o luce” - to jest bzdura, chyba, że przez “informację o luce” mają na myśli wrzucenie exploita na Milw0rm itp.

Wysłano w Blog - Web | Tags: , , |

Adres dla trackback. RSS dla komentarzy w tym wpisie.

Liczba komentarzy: 5

  1. tomipnh Says:
    styczeń 24th, 2008 at 22:27

    Widzę, że jednak “system” z Tobą wygrał, przynajmniej reader.google.com mi tak mówi. Jako zainteresowany wiesz o co mi chodzi ;-)

  2. Piotr Says:
    styczeń 25th, 2008 at 10:36

    Witam,

    Pomijając wątpliwy ton newsa, jego treść świadczy o nierozumieniu na czym polega obserwacja ataków w sieci poprzez honeypoty - podstawowe źródło informacji w systemie ARAKIS. Jeżeli dany atak nie “uderzył” w honeypota, to po prostu nie zostanie zobserwowany. Fakt, że
    atak, jak twierdzi autor, był
    już wcześniej wykorzystywany jest bardzo istotny, jednak, co
    podkreśla sam autor, było to “po cichu”, a więc trudniejsze do obserwacji przez honeypoty. Zalecenia opisujące tę lukę pojawiły się w _publicznych_ serwisach ( czyli otwartych dla wszystkich jak
    bugtraq czy secunia, a nie tylko dla części podziemia przestępczego bądź odkrywców luki) wraz z exploitem dopiero w tym miesiącu, co prawdopodobnie zaowocowało szerszym wykorzystaniem tych ataków, które udało sie zaobserwować przez ARAKISa. Fakt, że luka została już załatana również został w komunikacie CERT zanotowany - nie znaczny to jednak, że zrobili to wszyscy korzystający z tego oprogramowania. Czy autor uważa więc, że informowanie o zaobserwowaniu na szeroką skalę ataków na daną aplikację (w tym wypadku wydarzenie nowe przynajmniej pod względem skali) nie ma sensu
    jeśli już jest patch na taką lukę? CERT Polska uważa, że ma. Tak więc (tendencyjny) tytuł newsa jest po prostu nie na miejscu - system wykrył to, co w danym momencie mógł wykryć, kiedy skala danego zjawiska przekroczyła pewien punkt krytyczny. Chociaż byśmy chcieli, system z fusów wróżyć nie jest w stanie.

    Z poważaniem,
    Piotr Kijewski

  3. kozik Says:
    styczeń 25th, 2008 at 12:28

    Dziękuję za odpowiedź i komentarz, z samą opinią o tytule czy tonie polemizować nie będę, natomiast chciałbym zwrócić uwagę na to “wykrycie”. Otóż termin ten oznacza wskazanie czegoś co się “kryje”, co nie jest widoczne. Coś czego nie jesteśmy świadomi, po wykryciu staje się znane itp.

    W tym przypadku już nawet od 8 stycznia (data wypuszczenia łaty) dziura jest już dość dokładnie opisana i tym samym jej wykorzystywanie nie jest niczym “ukrytym”. Tak jak informację typu “24 stycznia 2008 roku wykryliśmy wykorzystanie luki DCOM/RPC przez robaka Blaster” też nie można nazwać “wykryciem”. To po prostu obserwacja znanego faktu :).

    I jeszcze dodając - ja podejrzewam, że luka była wykorzystywana “po cichu”, bo nie opłaca się danej “korporacji” zwracać na siebie uwagę adminów ryzykując opublikowanie łaty na dziurę. Ale równie dobrze mogła dotknąć wiele serwisów z oprogramowaniem MyBB, bo odkąd są gotowe robaki wykorzystujące Google do szukania danego oprogramowania, znalezienie ofiary (MyBB) jest banalnie proste. I Google przy szukaniu ofiar dla tej luki był wykorzystywany, a przynajmniej tam, gdzie ja to mogłem zaobserwować.

  4. Piotr Says:
    styczeń 25th, 2008 at 12:54

    Z punktu widzenia systemu, atak był nowy (nie widziany wcześniej) - tak więc pojęcie “wykrycie” jest pojęciem względnym. Żeby uniknąć wszelkiej wątpliwości, w treści informacji zmieniono to słowo na “zanotował”. Natomiast porównanie z Blasterem jest chybione. Niecałe 3 tygodnie a 5 lat to duża różnica z punktu widzenia czasu na łatanie. Poza tym fakt istnienia luki/exploita oraz dowód jego wykorzystania na skalę masową to dwie różne kwestie. Nagłośnienie wykorzystania wpływa mobilizująco na osoby odpowiedzialne za swoje serwisy, co było główną motywacją do publikacji informacji na ten temat.

  5. kozik Says:
    styczeń 25th, 2008 at 13:26

    Porównanie do Blastera miało być porównaniem skrajnym, bo to najlepiej obrazuje sytuacje pojęciowo “względne” :).

    Co do nagłośnienia informacji o luce, exploicie czy łacie, to tu cel słuszny, szczytny i bynajmniej nie chcę tego w żaden sposób krytykować.

Dodaj komentarz




Uwaga: Włączona jest moderacja komentarzy, więc nowy komentarz nie ukaże się bezpośrednio po jego wysłaniu.

Uwaga: Działa filtr antyspamowy. Jeśli umieścisz w komentarzu odnośniki, to może on zostać błędnie zakwalifikowany jako spam.

Kategorie

Ostatnio napisane

Szukaj:

Administracja:



content license: cc-by-sa © 2002 - 2008 Krzysztof Kozłowski
All content on this website, unless otherwised noted, is licensed under Creative Commons Attribution-ShareAlike License.
Motorynka: WordPress