Hackerharcok nyara a weben

A patinás Astalavista oldal feltörésével vette kezdetét a nyári unaloműző hackelési hullám. A patinás, 1994 óta működő lap sebezhetőségeket, programtöréseket, kódgenerátorokat kínált az érdeklődőknek, illetve havi 6.66 dollárért szakmai fórumot is biztosított a növendék hackereknek. A 15 éves történetnek július 10-én lett vége, amikor egy sebezhetőséget kihasználva az Anti-sec nevű csoport eltüntette az internetről az oldalt. A sötét dizájnú, a filmek hackereinek programjait idéző küllemű oldat helyére az adminisztrátorok felhasználóneveit, jelszavait, az oldalt tároló adatbázis adatait és egyéb kínos részleteket tartalmazó hosszú naplófájlt illesztettek a betörők. A napló az Astalavista adatbázisainak megsemmisítésével és egy gúnyolódó üzenettel ért véget. Az oldal a mai napig nem indult újra.

Minden hiba nyilvánossá válik

Az Astalavistát az ImageShack képtárhely követte. A szolgáltatás működtető szerverre bejutva a hackerek összes képet saját kiáltványunkkal helyettesítették. A felhasználók adatai ugyan nem vesztek el, néhány óra alatt képesek voltak a rendszergazdák helyreállítani az ImageShacket, ám amíg munkálkodtak, minden beillesztett imageshackes kép helyén a csoport üzenete tűnt fel.

Tisztázatlan, hogy melyik Anti-sec törte fel az Astalavistát

A kiáltvány szerint az Anti-secet a biztonsági szakma teljes közzététel (full disclosure) nevű gyakorlata háborította fel. A csoport szerint a felfedezett sebezhetőségek a programozók előzetes figyelmeztetése nélküli, azonnali nyilvánosságra hozatalát a szakma pénzéhsége motiválja. Az ilyesfajta ijesztgetés csupán a drága védelmi szoftverek eladásait növeli.

Az ilyen bejelentések minden lényeges információt tartalmaznak: a programhiba által érintett szoftververziókat, a sebezhetőség kihasználásával elérhető előnyöket, a támadás módját, esetenként még a hiba kihasználását bemutató példakódot is mellékelik a büszke felfedezők. A hackerek szerint a felelőtlenül közzétett módszerek és támadó kódok hamar elterjednek, reklámozva a hibát elsőként megjelentető oldalt. A helyzetet sommázó kiáltvány végén az Anti-sec a teljes közzétételt gyakorló cégek és webes közösségek elpusztításának ígéretével fejezte be a világ arcába nyomott kiáltványát.

Óvatosabb eljárások is vannak

Természetesen nem csak nyíltan, minden részletet közzétéve lehet hibát bejelenteni. A részleges közzétételnek (partial disclosure) nevezett eljárás során előbb a szoftver gyártójának szólnak a felfedezett problémáról, és csak a javítás után teszik közzé tanulmányozásra a hiba részleteit.

Minden jelszót nyilvánosságra hoztak a hackerek

Az elmúlt évek legnagyobb, felelősen kommunikált biztonsági problémája a Dan Kaminsky által megtalált, az internet alapjait érintő sebezhetőség volt. A hiba bejelentését és javítását övező titkolózásért a kutató is megkapta a magáét a biztonsági közösségtől. A DNS-rendszer hibáját jelölték a hackerek Oscar-díjának is felfogható Pwnie-ra, ahogy az év legtúllihegettebb hibájának díjára is. Bár Kaminsky lelete valóban komolynak bizonyult, a sebezhetőség ismertetése előtti hercehurcának köszönhetően megítélték neki a Pwnie-díjat is.

Nem viccelnek a hackerek

Az ImageShack elleni figyelmeztető támadás óta két biztonsági témájú, a teljes közzétételt támogató oldalt romboltak le az Anti-sec aktivistái. Először a kevéssé komoly, Blackhat Forums oldalát semmisítették meg, később pedig a pedigrés Matasano cég lapján tettek korántsem tisztelgő látogatást. Az utóbbi eset azért is kínos, mert az addig megtámadott oldalakkal ellentétben a Matasano valóban profi szereplője volt a biztonsági iparnak. Az Anti-sec korábban más célpontokat is megjelölt, a támadó kódokat tartalmazó milw0rm oldal és a Hackforums rendszergazdái érezhetik magukat veszélyben, ha komolyan veszik a csoportot.

A feltört honlapok által elmondott történetet követők munkáját csupán az nehezíti meg, hogy a névtelen, csupán nyilvánosságra hozott naplófájlokban kommunikáló csoport nevében mások is tevékenykednek. A Xanda.net által közölt, állítólag a teljes nyilvánosságra hozatal ellen küzdő hackerektől származó levél szerint az ImageShack elleni támadást például névbitorlók követték el.

Kényszerítő erő a teljes nyilvánosság

Árnyaltabb annál a kép, mint amit az Anti-sec sugall - derült ki Buherátor, a legjobb magyar biztonsági blogot író hacker lapunknak adott válaszaiból. A szakember szerint a kibervandalizmusért manapság nem a tudás helyett csak kíváncsisággal és készen kapott eszközökkel rendelkező szkriptkölykök (script kiddie) felelősek, hanem az általában botnetek üzemeltetéséből élő és személyes adatokkal kereskedő bűnözői csoportokat lehet ezzel okolni.

Sebezhetőségek a Milw0rm-ön: nem vártak a gyártóra

"Ezek a csoportok sokszor pontosan azért tudják megelőzni a biztonsági szakembereket, mert olyan egyedi (0day) sebezhetőségeket fedeznek fel kutatásaik során, melyek senki más számára nem ismertek, így a gyártók nem tudnak felkészülni a velük szembeni védekezésre. A teljes nyilvánosságra hozatal kiveszi ezt az előnyt a bűnözők kezéből" - írja Buherátor, hozzátéve, hogy nincs garancia arra, hogy a bejelentett hibák még nincsenek a bűnözői csoportok birtokában.

A hacker azt is hozzátette, hogy bár a gyártóval együttműködő részleges közzététel jó középút lehet, néha csak az összes információ nyilvánosságra hozatala tudja rákényszeríteni a konok cégeket a problémák javítására. Ha az érintett cég nem hajlandó a költséges és a vállalat hírnevét rontó lyukakat betömni a szoftverén, akkor csodát tud tenni a Full Disclosure levelezőlistára küldött, jól összeállított levél. Ráadásul a hacker filozófia, az információk nyilvánosságára való törekvése gyakorlatilag előírja a teljes nyilvánosságra hozatal alkalmazását - magyarázta a gyakorlat mögötti elméleti megfontolást a hacker.

Aki fél, az frissítsen

Igazán új tippeket nem tudunk adni a sebezhetőségek és rosszindulatú weboldalak jelentette fenyegetéstől tartó felhasználóknak. Bár az Anti-sec akciói nem a netezők ellen irányulnak, a hiányzó frissítések beszerzése sosem rossz ötlet. Ha a Windows Update végigért, akkor érdemes a Secunia sérülékenységkeresőjével, a PSI-vel folytatni, ami a telepített programokat vizsgálja meg, elérhető-e belőlük újabb, kevesebb hibát tartalmazó verzió. Az utolsó fontos - és emiatt ezerszer elismételt lépés - a fontos adatok lementése a számítógépről. Ha ezek megvannak, a legújabb vírusdefiníciók birtokában figyeli a gépet a vírusölő, és az alkalmazott tűzfal sem a Windows beépített védelmi szoftvere, akkor a masina már viszonylagos biztonságban merészkedhet ki a webre.