HD Moore: 31 dziur w 31 dni

Na początku lipca Internet zelektryzowała deklaracja HD Moora - twórcy popularnego zestawu narzędzi hakerskich Metasploit Framework - który zapowiedział, że każdego dnia tego miesiąca będzie publikował informację o błędzie w jednej z popularnych przeglądarek internetowych. Lipiec minął i czas na podsumowania - okazuje się, że w Moore dotrzymał słowa - w ciągu 31 dni upublicznił informacje o 31 lukach w zabezpieczeniach Internet Explorera, Safari, Firefoksa, Opery oraz Konquerora. Nasi koledzy z amerykańskiego magazynu InfoWorld mieli okazję porozmawiać z HD Moore'm, który opowiedział m.in. o projekcie "Lipiec miesiącem błędów w przeglądarkach", a także o genezie Metasploit Framework oraz o udostępnionym niedawno narzędziu wyszukującym błędy w kodzie z wykorzystaniem Google'a.

A jak ten projekt rozwinął się do obecnej postaci?

Początkowo informację o nim przekazywali sobie sami użytkownicy. Przeważały pozytywne opinie. Pewnego dnia odezwał się Spoonm [obecnie główny programista Metasploit - red.] - napisał w e-mailu: "Ten program jest do bani!". Odpowiedziałem więc "Tak? To może zrobisz to lepiej?". A on... po prostu to zrobił. W tej branży, by zachęcić kogoś do wykonania jakiegoś zadania, musisz podrażnić jego ego. Uczynić to zadanie wyzwaniem. Tak pracują nasi programiści. Moim zdaniem - jako szefa projektu - jest po prostu cały czas mówić "No dobra. Jak możemy teraz to ulepszyć?".

Co, Twoim zdaniem, o Metasploit powinni wiedzieć pracownicy działów IT?

Zawsze waham się przed poleceniem Metasploit użytkownikom korporacyjnym - nigdy nie wiadomo, czy obowiązujące w danej firmie zasady nie zakazują korzystania z takiego oprogramowania. Metasploit jest dobrym narzędziem dla firm, które właśnie zleciły komuś sprawdzenie swoich zabezpieczeń - dzięki niemu możecie sprawdzić, czy zrobili to dobrze i czy znalezione przez "testerów" luki rzeczywiście istnieją. Z korzystaniem z dostępnych w Sieci exploitów zawsze wiąże się pewne ryzyko - a uruchamiając Metasploit jesteś bezpieczny.

Kilka tygodni temu wywołałeś burzę, zapowiadając udostępnianie przez cały lipiec informacji o kolejnych błędach w przeglądarkach...

Uznałem, że jeśli już wykryje się lukę w zabezpieczeniach programu i chce się komuś ją udostępnić to wszyscy powinni o niej wiedzieć. Kilka lat temu amerykański CERT wprowadził program, w ramach którego niektórzy klienci mogli kupować informacje o błędach z wyprzedzeniem, przed podaniem ich do publicznej wiadomości. Skończyło się to tym, że ktoś wykorzystał taką informację i stworzył exploita zanim większość użytkowników zdołała się zabezpieczyć. Częściowe ujawnianie informacji o błędach nigdy się nie sprawdza...

Niedawno zaprezentowałeś oparte na Google'u narzędzie do wyszukiwania złośliwego oprogramowania - podobne do tego, jakie stworzyła firma Websense. Powiedz coś więcej na ten temat.

Znaleźliśmy za jego pomocą ogromną liczbą różnych niebezpiecznych programów - wśród nich znalazło się kilka ciekawych przypadków. Łącznie pobraliśmy ok. 400 GB plików binarnych - wśród 2,3 tys. próbek kodu znaleźliśmy 125 znanych "złośliwych" programów oraz blisko 100 programów o niebezpiecznych cechach, których nie wykrywały żadne popularne narzędzia antywirusowe.

W ostatnim czasie w Sieci pojawiło się wiele nowych, niebezpiecznych exploitów, atakujących nieznane wcześniej luki w Wordzie, Excelu czy PowerPoincie. Nie niepokoi Cię to zjawisko?

Rzeczywiście, pojawił się jakiś nowy trend i coraz częściej mamy do czynienia z sytuacją, w której exploit pojawia się jeszcze przed upublicznieniem informacji o jakiejś luce. Wiem, ze takie informacje często są obiektem handlu - tylko w ostatnich dniach sprzedano w Sieci kilka nowych exploitów, wykorzystujących nieupublicznione jeszcze błędy.

Słyszałeś pewnie o inicjatywach firm TippingPoint czy VeriSign, które płacą za informacje o nowych lukach - to sprawia, że wiele osób sprzedaje szczegółowe dane na temat luki, a dopiero później przekazuje je autorowi programu. To nie wszystko - istnieje też duża grupa klientów, którzy chętnie zapłacą za takie informacje 10 czy 15 razy więcej niż TippingPoint czy VeriSign. Nie wiemy, kim oni są - według plotek ich sponsorami są "trzyliterowe" agencje rządu USA.