MSPStandard.pl - IT dla małych i średnich firm - link do strony głównej
wyszukiwanie:
Podziel się opinią o serwisie

reklama

Stworzony dla firm produkcyjnych

Strefa EpicorPraca z systemem ERP nigdy nie była tak prosta i intuicyjna. Zobacz demo i sprawdź dlaczego firmy produkcyjne wolą system Epicor.
Zapraszamy do strefy »

popularne komentowane nowości

popularne

Najczęściej czytane

więcej...

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst >
AKTUALNOŚCI

Hakerzy: Polska nie ma się czego wstydzić

21 sierpnia 2006

[PC World Online]
(Strona 2 z 2)
PC World

Zdaniem zespołu Gadu-Gadu:
Opisane w artykule informacje dotyczą okresu sprzed co najmniej roku i jak słusznie zauważa bohater tekstu "najbardziej krytyczne zostały usunięte bądź ryzyko ich wystąpienia zostało zredukowane do minimum". W Gadu-Gadu przykładamy dużą wagę do zagadnień bezpieczeństwa, stale ulepszamy komunikator - jak tylko dostaliśmy informację o błędach, niezwłocznie rozpoczęliśmy pracę nad ich wyeliminowaniem. Dostępna z naszej strony www.gadu-gadu.pl najnowsza wersja komunikatora jest wolna od tych błędów.
Nad rozwojem komunikatora pracuje obecnie zespół kilkunastu wysokiej klasy informatyków, a wszelkie zgłoszenia i uwagi, również o błędach, przyjmujemy pod całodobowym adresem tech@gadu-gadu.pl W ciągu ostatniego roku żadna z wypowiadających się w artykule osób nie zgłaszała nam żadnych uwag o krytycznych błędach.


Ofiara po przeprowadzeniu nieskomplikowanej procedury autoryzacyjnej polegającej m. in. na wysłaniu swojego identyfikatora i sprawdzeniu czy tajnym kodem dostępu otrzymanym od drugiej strony połączenia jest UDAG (czyli "GADU" w porządku little-endian) rozpoczyna pętlę oczekiwania na komunikaty od drugiej strony, która teraz dla uproszczenia będziemy nazywać atakującym.

Atakujący wysyła komunikat z prośbą o przesłanie pliku z katalogu plików tymczasowych komunikatora ofiary. Trudno mi powiedzieć co autor programu miał na myśli programując taką funkcję, ale teraz to nieistotne. Ten plik, który chcemy z tego katalogu plików tymczasowych pobrać może się nazywać np.: '..\..\..\..\..\..\..\..\..\windows\repair\sam' lub '..\Ja\config.dat' lub '..\Ja\archive.dat'. Możliwości jest wiele, przesłaniu może ulec zawartość pulpitu, skrzynka pocztowa itd. Oczywiście program ofiary posłusznie, automatycznie taki plik odsyła i zamyka połączenie. Koniec opowiastki.

Mamy tutaj generalnie dwie sprawy. Po pierwsze wydobyliśmy na światło dzienne ukrytą funkcjonalność o nieznanym przeznaczeniu. Po drugie dostrzegliśmy, że program zanadto ufa danym wejściowym.

Aby wykryć tę dziurę, musiałem jedynie przeanalizować fragment kodu odpowiadający za nawiązywanie połączeń bezpośrednich. Dowiedziałem się, że poza zwykłym przesyłaniem plików można "poprosić" kogoś o przesłanie pliku z katalogu cache. Okazało się też, że nazwa pliku, o który prosimy nie jest sprawdzana pod kątem zawartości. To znaczy, że można było w jej miejsce podać dowolny ciąg znaków, co stwarza potencjalnie kilka możliwości. Jedną z nich jest możliwość kradzieży danych co udało się empirycznie stwierdzić.

Inną ciekawą opcją jest fakt, że w podobny sposób można było dowolny plik w dowolnym miejscu na komputerze ofiary zapisać.

Jak można było wykorzystać ujawnione dziury?

Kilka z ujawnionych błędów można było wykorzystać do przejęcia całkowitej kontroli nad zdalnym komputerem. Pozostałe były mniej groźne, umożliwiały kradzież poufnych danych z komputera ofiary czy też zwykłe ataki na dostępność powodujące zawieszenie się czy to aplikacji lub systemu.

Jak współpracowało Wam się z Gadu-Gadu?

Błędy zgłaszane były dwukrotnie, w odstępie rocznym. Za każdym razem były inne i dotyczyły odmiennych edycji komunikatora (w tym Gadu-Gadu udostępniło nową wersję aplikacji). Początkowo rozmawialiśmy z panem Łukaszem Foltynem, autorem kodu GG - nasze wymiany zdań przebiegały bez zakłóceń. Wysłaliśmy opis błędów, dostaliśmy informację zwrotną wraz z prośbą o wyjaśnienie (oczywiście odpowiedzieliśmy) itd.

Później po wysłaniu obszernej informacji otrzymaliśmy tylko ticket (bilet) z jakiegoś systemu, na który to ticket mieliśmy się powoływać w przypadku dalszej korespondencji. A po krótkim czasie jeszcze informację, że nasze wnioski zostały przekazane "tam gdzie trzeba". Wkrótce pojawiła się nowa wersja komunikatora...

Czy masz inne doświadczenia związane z bezpieczeństwem? Nad czym teraz pracujesz?

Poza GG publikowaliśmy jeszcze informacje na temat błędów w dwóch innych komunikatorach: Tlen.PL oraz WPkontakt. Jakiś czas temu ujawniliśmy również raport z krótkich, aczkolwiek dających wiele do myślenia badań dotyczących portali bankowości elektronicznej w Polsce (security.psnc.pl/reports/e-banking_polska_ssl_report.pdf ).

W bezpieczeństwie informacji chodzi o to, żeby sekret pozostał sekretem, staram się więc dbać o bezpieczeństwo informacji na temat, nad którym aktualnie pracuję :).

Aktualizacja:

21 sierpnia 2006 14:08
Dodaliśmy ramkę z wypowiedzią przedstawiciela Gadu-Gadu, Jarosława Rybusa.

« wstecz1 2
Wystaw ocenę:
    Średnia ocena (liczba głosów: 18)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

rageman

  • ocena: brak oceny
  • IP: 201.0.4.148
  • 21-08-2006, 15:10

Chciałbym skupić się na początkowym licie. Polska nie jest komputerowym zaściankiem - tego nie trzeba udowadniać. Osobiście utalentowanych informatyków zamieniłbym na całkowite oddłużenie Polski po szaleństwach gierkowszczyzny i conajmniej 800% wzrost produktu narodowego brutto w ciągu najbliższego roku. Przydałoby się także conajmniej czterokrotne podniesienie płac minimalnych oraz obniżenie podatków. Za pomysł na wagę złota uważam OBOWIĄZKOWE zniesienie VAT-u (to w istocie podwójne opodatkowanie, jeśli wziąć pod uwagę to co płacimy państwu), co nie tylko odróżniałoby Polskę w Eurokołchozie, ale uczyniło jej gospodarkę gigantycznie konkurencyjną w porówananiu z Niemcami i innymi krajami prezentującymi model nowoczesnej gospodarki socjalistycznej.

pysiak

  • ocena: brak oceny
  • IP: 62.21.117.48
  • 21-08-2006, 23:35

rageman:
czterokrotne zwiekszenie placy minimalnej spowoduje wielkorotne
zwiekszenie bezrobocia (tzw. bezrobocia klasycznego, czyli spowodowane zbyt wysoka placa)

wysokie koszty pracy (spowodowane owa podwyzka plac) podniosa bardzo ceny i to spowoduje obnizenie owej konkurencyjnosci, o ktorej opowiadasz.

Straszne herezje ekonomiczne napisales :-|