Az év legcikisebb biztonsági blamái

A Pwnie-díj a megszerezni, feltörni jelentésű "pwn" szlengszó után kapta a nevét, a nyertesek - a két szó összecsengése miatt - egy aranyszínű pónifigurával lesznek gazdagabbak. A Pwnie-t odaítélő zsűri olyan szakértőkből állt össze, mint a tavalyi CanSecWest konferencián egy MacBook Prót és tízezer dollárt zsebre tévő Dino Dai Zovi, aki az Apple operációs rendszerét törte fel a díjakért, vagy HD Moore, a biztonsági szakemberek és kiberbűnözők által egyaránt szívesen használt Metasploit keretrendszer megalkotója.

Díjat is nyert a DNS hiba

Bár az elmúlt három hétben bebizonyosodott, hogy valóban súlyos sebezhetőséget talált Dan Kaminsky a DNS protokollban, a DNS hiba mégis megkapta a 2008 legtúllihegettebb hiba díját. Kaminsky győzelméhez az járulhatott hozzá, hogy már a sebezhetőség részleteinek kiderülése előtt is hatalmas médiafigyelmet kapott az ügy.

Az internet telefonkönyvének számító DNS rendszer hibáját kihasználva a támadók könnyen átirányíthatták adathalász oldalakra a gyanútlan netezőket. A Black Hat konferencián tartott előadásán Kaminsky tucatnyi további támadási lehetőséget vázolt fel. A kutató szerint nehezebb olyan netes szolgáltatást találni amely nem támadható valamilyen módon a hibát kihasználva, mint olyat amit érint a sebezhetőség.

Veszélyben a bloggerek

A népszerű ingyenes blogmotor, a Wordpress is megkapta a maga póniját. Az egyfajta negatív életműdíjként is felfogható Mass Ownage (legnagyobb alázás) kategóriát különösen biztonságtalan felépítésének köszönhetően nyerhette meg a népszerű webes szoftver. A MITRE cég által üzemeltetett sebezhetőségi adatbázisban száznegyven találatot kapunk a blogmotorra keresve, ráadásul ebből negyven az idei évre esik.

Majdnem hackerbiztos oldalak

Erős mezőnyben sikerült megnyernie a leggyengébb gyártói válasz kategóriát a McAfee-nek. A biztonságtechnikai cég több mint hatvan olyan honlapnak adott ki "Hacker Safe" tanúsítványt, amelyek oldalak közti szkriptelési támadással (XSS) sebezhetőek.

Tankönyvi példa az XSS-re

Az XSS támadás során a hackerek olyan kódot illesztenek a weboldalba, amely a felhasználók böngészőjében lefutva kárt okozhat vagy adatot lophat. A támadást kártékonyan módosított linkkel vagy őrizetlenül hagyott beviteli mezők felhasználásával is végre lehet hajtani.

A cég egy kommunikációs baklövéssel is növelte nyerési esélyét. Az XSS problémák kiderülte után a McAfee egyik igazgatója azt nyilatkozta, hogy az ilyen hibák miatt csupán a honlapra látogatóknak támadhatnak problémái, a szervert nem lehet ilyen módon feltörni...

Biztonság helyett titkolózás

A gyártói válaszok kategória nagy vesztese a holland NXP cég, amely az általa gyártott Mifare Classic digitális vonaljegy sebezhetőségét próbálta eltitkolni. Az NXP perrel próbálta elriasztani a rendszert feltörő holland kutatókat felfedezésük publikálásától. A helyzet iróniája, hogy a Black Hat konferenciáról sikerrel zártak ki egy olyan előadást, amely az amerikai MBTA közlekedési társaság hasonló rendszerének megkerüléséről szólt.

A digitális kártyák törhetősége több közlekedési céget érint. Az MBTA mellett Mifare technológiát rejt a londoni közlekedésben használt Oyster kártya, az ausztrál Smartrider és számos kelet-ázsiai társaság digitális jegye. A digitális jegyrendszer bevezetésén dolgoznak a hollandok is. Érdekes kérdés, hogy a kétmilliárd dollárból felépített rendszert biztonságossá tudják-e tenni.

Dalra fakadtak a hackerek

A legnehezebben megemészthető kategória a biztonsággal kapcsolatos daloké. Idén a vírusírtót, tűzfalat és levélszemét-szűrőt gyártó Kaspersky cég vitte el a díjat vastag aranyláncot és hatalmas medálokat viselő rapperei által előadott dalával

Kaspersky gengszterek

A többi induló produkciójára ránézve egyértelművé válhat, hogy a biztonságtechnikához a gengszter hiphop áll a legközelebb. Ilyen dalokból viszont a számítástechnikai és kriptográfiai témákat megzenésítő nerdcore mozgalom miatt sokkal jobbakat is találni az internetet böngészve. Rovatunk Mc Frontalot és Mc Plus+ garantáltan gyártófüggetlen slágereit ajánlja.

Árulkodnak a hűtött memóriák

Nem csak bődületes felsüléseket és beképzelt gyártókat díjaztak aranyszínű pónival. Az év legötletesebb kutatása díjat a Princeton egyetem szakembereinek ítélte oda a zsűri. A csapat azt ismerte fel, hogy a titkosított merevlemezek kulcsa a számítógép kikapcsolása után még hosszú percekig nem törlődik a memóriából, így egy gyors és felkészült tolvaj egyszerűen kiolvashatja azt a megfelelő célprogram használatával.

Részletes bemutató a titkosítás feltöréséről

Az egyszerű trükköt képesek voltak továbbcsiszolni a kutatók. A fenti videó második felében látható támadáshoz már a memóriablokkokat sem kell kiszerelnie a támadónak, elég ha egy USB kulcsról újraindítja a rendszert és lementi a memória tartalmát.

A további díjazottak listáját és az indoklásokat a díj honlapján tekinthetik meg az érdeklődők.