HD Moore: 31 dziur w 31 dni

Na początku lipca Internet zelektryzowała deklaracja HD Moora - twórcy popularnego zestawu narzędzi hakerskich Metasploit Framework - który zapowiedział, że każdego dnia tego miesiąca będzie publikował informację o błędzie w jednej z popularnych przeglądarek internetowych. Lipiec minął i czas na podsumowania - okazuje się, że w Moore dotrzymał słowa - w ciągu 31 dni upublicznił informacje o 31 lukach w zabezpieczeniach Internet Explorera, Safari, Firefoksa, Opery oraz Konquerora. Nasi koledzy z amerykańskiego magazynu InfoWorld mieli okazję porozmawiać z HD Moore'm, który opowiedział m.in. o projekcie "Lipiec miesiącem błędów w przeglądarkach", a także o genezie Metasploit Framework oraz o udostępnionym niedawno narzędziu wyszukującym błędy w kodzie z wykorzystaniem Google'a.

"Miesiąc" błędów w przeglądarkach został oficjalnie zainicjowany przez HD Moore'a 2 lipca, w jego blogu (pisaliśmy o tym w tekście "Lipiec "miesiącem błędów w przeglądarkach"). Moore zapowiedział wtedy, że żaden z ujawnionych przez niego błędów nie będzie na tyle poważny, że pozwoliłby cyberprzestępcom na wykonanie kodu na zaatakowanym komputerze. "Takie informacje zostaną opublikowane, by ostrzec przed różnymi typami błędów, które występują we współczesnych przeglądarkach oraz zademonstrować techniki, jakich użyłem, by je odnaleźć" - tłumaczył HD Moore.

31 dni, 31 dziur

Lipiec minął, czas więc na podsumowania. Wygląda na to, że Moore dotrzymał słowa - w ciągu 31 dni minionego miesiąca opisał na stronie http://browserfun.blogspot.com 31 błędów w zabezpieczeniach pięciu przeglądarek. Niechlubne pierwsze miejsce w tym zestawieniu zajął Internet Explorer Microsoft, w którym znaleziono łącznie 25 różnych błędów. Na drugim miejscu uplasowały się ex aequo Safari i Mozilla Firefox (po 2 błędy), zaś na trzecim - Opera i Koqueror (po 1 luce). Moore ogłosił zakończenie projektu - zapowiedział też jednak, że strona http://browserfun.blogspot.com nie zniknie z Sieci - będą na niej prezentowane bieżące informacje na temat problemów z bezpieczeństwem przeglądarek.

Warto wspomnieć, że nazwisko "łowcy błędów" pojawiło się minionym miesiącu w mediach również z innego powodu - autor pakietu Metasploit Framework udostępnił ciekawe narzędzie służące do wykrywania złośliwego kodu, działające w oparciu o mechanizm wyszukiwawczy Google'a. Poniżej prezentujemy wywiad z HD Moore'm, przeprowadzony przez Paula Robertsa z amerykańskiego magazynu InfoWorld - Moore opowiada w nim zarówno o błędach w przeglądarkach, jak i powstaniu Metasploit Framework oraz o zjawisku kupowania informacji o dziurach w oprogramowaniu.

Rozmowa z HD Moore'm

InfoWorld: Skąd wziął się pomysł na stworzenie Metasploit Framework - pakietu narzędzi hakerskich, ułatwiających analizowanie poziomu bezpieczeństwa systemu?

HD Moore: W 2003 r. nagle nastąpiło... coś w rodzaju martwego czasu w zakresie bezpieczeństwa. Wiele osób zajmujących się tą tematyką - tzn. publikujących informacje o błędach - porzuciło to zajęcie, zaczęli pracę w różnych firmach. W tym samym czasie prywatne przedsiębiorstwa zaczęły skupować informacje o lukach - ludzie więc zaczęli się zastanawiać "Czemu właściwie mam informować o dziurze na publicznie dostępnej liście, skoro mogę sprzedać tę wiadomość np. ludziom z iDefense?". W projekcie Metasploit chodziło więc o stworzenie narzędzia, które pozwoliłoby szybko i sprawnie znajdować nowe luki w zabezpieczeniach i przeciwdziałać im.