Flash i luki w witrynach - główne tematy Black Hat Washington

W przyszłym tygodniu w stolicy USA odbędzie się kolejna edycja najsłynniejszej chyba hakerskiej imprezy na świecie - Black Hat. Z pewnością dowiemy się podczas niej o wielu nowych lukach i problemach z bezpieczeństwem popularnego oprogramowania - ze wstępnych zapowiedzi wynika, że szczególnie dużo czasu specjaliści zamierzają poświęcić Adobe Flash oraz stronom WWW.

Wydaje się, że przewodnim tematem imprezy będą niebezpieczne - i niestety bardzo powszechne - błędy projektowe popełniane przez twórców stron WWW. Wiadomo już, że temu tematowi swoje wystąpienie poświęci Michael Bailey, ekspert ds. bezpieczeństwa z firmy Foreground Security - podczas prezentacji zamierza on pokazać, jak łatwo można zaatakować kilka niezmiernie popularnych stron WWW, wykorzystując do tego błędy w implementacji technologii Adobe Flash.

"Zamierzam udowodnić, że Flash jest równie podatny na ataki, jak każdy inny element infrastruktury WWW. Błędy, które pokażę, znalazłem na blisko 30 niezmiernie popularnych stronach WWW - ich administratorzy zostali już oczywiście powiadomieni, więc ujawnienie problemu nie spowoduje poważnego zagrożenia" - mówi Bailey. Specjalista nie chce na razie podać nazw owych witryn - zdradził jednak, że wśród nich znalazły się m.in. masowo odwiedzane przez użytkowników serwisy społecznościowe, portale informacyjne, a także strony cenionych firm z branży technologicznej.

"Wszystkie te problemy z bezpieczeństwem oprogramowania Adobe są o tyle groźne, że nie da się ich rozwiązać udostępniając jakiegoś patcha. Sprawa jest dużo bardziej skomplikowana i dotyczy zarówno aplikacji Adobe, jak i sposobów jej wykorzystania na stronach WWW" - tłumaczy przedstawiciel Foreground Security.

O odkryciach Baileya wiedzą już przedstawiciele Adobe (aczkolwiek ich też na razie nie wtajemniczono w szczegóły) - ale szef działu bezpieczeństwa firmy, Brad Arkin, wydaje się lekceważyć te doniesienia (w każdym razie nie widzi problemu po stronie Adobe). "Wydaje mi się, że pan Bailey zamierza mówić raczej o dość częstych błędach popełnianych przez twórców witryn i związanych z wykorzystaniem technologii Flash. Staramy się oczywiście rozwiązywać te problemy - np. udostępniając webmasterom szczegółowe instrukcje i poradniki" - komentuje przedstawiciel Adobe.

Ale najnowsza edycja Black Hat nie będzie poświęcona wyłącznie problemom z oprogramowaniem Adobe - David Byrne i Rohini Sulatycki, konsultanci ds. bezpieczeństwa z firmy Trustwave zamierzają podczas swoje prezentacji udowodnić jak błędne implementowanie pewnych technologii kryptograficznych może zostać wykorzystane do wykradania danych z aplikacji napisanych w Microsoft ASP.Net, Sun Mojarra lub Apache MyFaces. "Wykryliśmy, że w pewnych okolicznościach "napastnik" może uzyskać dostęp do danych na serwerze, które nie powinny być dostępne dla nikogo poza administratorem. Podczas naszej prezentacji pokażemy, jak może przebiegać taki atak" - zapowiada David Byrne. Specjaliści pokażą też, jak należy prawidłowo zabezpieczyć oprogramowanie przed takimi atakami. Byrne dodał, iż podatność systemu na ataki jest często efektem niefrasobliwości programistów, którzy nie stosują się do zasad tworzenia bezpiecznego oprogramowania (z najróżniejszych powodów - od zwykłego lenistwa i niewiedzy, po chęć uzyskania najwyższej wydajności, nawet kosztem bezpieczeństwa).

Wśród innych problemów z bezpieczeństwem, które zostaną zaprezentowane podczas lutowej konferencji Black Hat, warto wymienić m.in. luki w Mac OS X, przeglądarce Internet Explorer, systemie operacyjnym smartphone'a iPhone, oprogramowaniu Oracle 11g, a także aplikacjach do monitoringu wideo. Hakerzy przedstawią również metody obchodzenia zabezpieczeń najróżniejszych urządzeń.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.