Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

re: Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

Mind Booster Noori — Sun, 27 Jul 2008 18:57:48 GMT

As "Full Disclosures" já foram debatidas até à exaustão:

http://mindboosternoori.blogspot.com/2007/01/full-disclosure_24.html

Quanto a este problema em particular, há duas coisas a considerar:

1 - Os dados já eram públicos. Eu próprio escrevi um teste para encontrar este bug - modularizá-lo de forma a se tornar uma ferramenta como aquela que eles publicaram depois era uma questão de minutos. Assim - foi publicamente aceite que já havia uma forma de explorar esta falha por aí - e isso apressou a sua correcção mais do que nunca: basta ver o fluxo de notícias sobre este assunto na comunicação social e pela web, durante todo o processo de anúncio deste problema.

2 - Mais importante que isso, os sistemas que eram vulneráveis na altura, e que foram corrigidos para este ataque, continuam vulneráveis - o ataque é simplesmente muito mais difícil e moroso.

re: Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

marcoss — Mon, 28 Jul 2008 14:27:12 GMT

Caro Marcos,

Obrigado pela sua participação. Sendo uma pessoa com conhecimentos e que trabalha nesta área é interessante a sua opinião! De facto, a existência de exploração de uma falha, pode apressar a sua correcção.

A minha questão não se prende com a “the practice of making the details of security vulnerabilities public”. A minha questão (que eu acho pouco responsável) tem a ver com a publicação do código que proporciona esse ataque. Este código pode ser (mal) aproveitado por indivíduos (normalmente jovens) cuja a intenção é duvidosa. Eu não estou a falar de um trabalho de investigação, estudo ou conhecimento profundo que levou à descoberta deste bug. Eu estou a falar do puro aproveitamento para fins duvidosos.

Já leu as últimas noticias:

http://www.theregister.co.uk/2008/07/25/isps_slow_to_patch/

“In all more than a dozen ISPs failed the "Check my DNS" test (see button to the right) on the website of researcher Dan Kaminsky, who discovered the bug. Now that attack code exploiting the vulnerability has been leaked into the wild, millions of subscribers are at risk of being silently redirected to impostor sites that try to install malware or steal sensitive information.”

re: Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

Mind Booster Noori — Thu, 31 Jul 2008 12:46:59 GMT

Marcos: foi exactamente pela existência de esses casos que publicar a ferramenta foi importante. Só assim as varias entidades se poem alerta quanto a este problema, só com o choque de se poderem tramar é que (grande parte) vão agir. Não estamos a falar de pequenos servidores de DNS, estamos a falar do DNS de, por exemplo, a AT&T. Vale mais agitar e mesmo expor vulnerabilidades dos vários ISPs pelo mundo? Ou deixar as coisas pela calada e correr o risco de - como utilizadores da internet - ligar-nos à rede algures e poder-mos estar a ser atacados graças a esta falha?

re: Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

marcoss — Thu, 31 Jul 2008 13:46:59 GMT

É um pau de dois bicos! Por um lado, concordo com o que dizes. Na altura em que comecei nesta área era, por vezes, difícil passar a mensagem da necessidade de actualização. E o que se verificou é que muitos só o faziam depois de sentirem que estavam realmente em perigo.

No entanto, existe sempre o outro lado, aqueles que se aproveitam deste código para outros fins... mas que de facto só tem algum efeito se os responsáveis não actualizarem os seus sistemas.

re: Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

Abel Santos — Thu, 31 Jul 2008 16:09:34 GMT

Claro que há pessoas/entidades que preferem a linha "Security by obscurity"

Abel

re: Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

marcoss — Thu, 31 Jul 2008 17:43:07 GMT

Caro Abel Santos,

Obrigado pela sua participação.

Para sua afirmação, já passei as suas sugestões sobre o Virtual Earth ao meu colega. Se tiver novidades eu digo. E como está a integração do seu GPS com o Virtual Earth? Ajudou o meu último comentário? Espero que sim!

Em relação ao comenário relativo ao tema da Segurança, podia elaborar um pouco mais o que quer dizer com "Claro que há pessoas/entidades que preferem a linha "Security by obscurity"". O Abel defende isso ou não concorda?

re: Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

Abel Santos — Thu, 31 Jul 2008 20:07:21 GMT

Marco Santos,

Não não concordo, eu defendo que conhecimento (de toda a gente) é segurança!

Quanto ao GPS não testei, de qualquer forma, obrigado pela informação

Abel

Informação em avanço para aumentar a Segurança

Pensamentos e opiniões abertas sobre Tecnologia — Wed, 06 Aug 2008 13:21:36 GMT

É engraçado, que a semana passada s estávamos a discutir, se publicar código de ataque a uma vulnerabilidade