Po godzinach - Delirium

Delirium, Unix, Windows

Początkowo specjalizowali się w systemach unixowych. Dwa lata temu uznali jednak, że nie sposób ignorować Windows - najpowszechniejszego, najszybciej rozwijanego systemu, dla którego tworzy się najwięcej oprogramowania użytkowego. Dokładne poznanie systemu nie było sprawą łatwą. "Unix jest bardziej monolityczny i wykorzystuje ograniczoną liczbę zdefiniowanych interfejsów. Windows już od poziomu jądra składa się z podsystemów i niezliczonej liczby komponentów działających w przestrzeni użytkownika. To czyni go bardziej skomplikowanym i mniej przejrzystym" - mówi Michał Chmielewski. W domyśle - bardziej podatnym na włamania. Poznaniacy korzystają z samodzielnie wypracowanej metodologii. Najpierw dokonują częściowej dekompozycji systemu na nadające się do analizy fragmenty. Później dokonują desasemblacji. Oglądają działanie systemu i ewentualne anomalia w jego zachowaniu. Na tej podstawie tworzą listę miejsc, w których potencjalnie może wystąpić błąd. Potem trwa wnikliwa analiza, ustalanie drogi dotarcia do błędu i wreszcie powstaje efekt finalny - exploit, czyli program wykorzystujący lukę.

Nie każdy błąd systemu czy aplikacji może zostać wykorzystany do włamania. Część błędów dotyczy tylko niektórych wersji językowych programu, specyficznych konfiguracji czy rzadko używanych dodatkowych funkcji. "Niestety, warunki rozwoju oprogramowania: pośpiech, konieczność tworzenia różnego rodzaju dodatków, wreszcie cała koncepcja samoinstalujących się programów typu plug in sprzyjają powstaniu błędu" - twierdzi Tomasz Ostwald.

"Rośnie złożoność systemów i liczba zależności pomiędzy komponentami. Nie zmienia się jednak znacząco sposób ich projektowania. Duże niebezpieczeństwo wiąże się z tym, że systemy są tworzone przyrostowo. Błąd, który odkryliśmy ostatnio, tkwił w Windows od lat i był powielany w kolejnych wersjach systemu" - wyjaśnia Tomasz Ostwald. To sprawia, że tworzenie nowych wersji systemu i zabezpieczeń przypomina budowanie domu na piasku. "Niektóre komponenty działających w tej chwili systemów warto przepisać od nowa" - twierdzą członkowie LSD.

Więcej błędów to więcej ataków. Zdaniem członków LSD w najbliższym czasie największe zagrożenie będą stanowić ataki pasywne, tj. takie, które wymuszają jakiś ruch ze strony użytkownika. Nie dotyczą bezpośrednio serwera. Skłaniają użytkownika do zainicjowania akcji, np. pobrania pliku. Działanie może się odbyć bez wiedzy użytkownika, np. poprzez instalację jakiegoś apletu Javy.

Najważniejszy produkt, nie wiedza

To, czym informatycy zajmują się w ramach grupy LSD, stanowi uzupełnienie obowiązków wykonywanych w trakcie pracy w poznańskim centrum. Czasem jednak trudno rozgraniczyć te dwa światy. Jako komórka odpowiedzialna za bezpieczeństwo w PCSS-ie, dokonują audytów w dużych firmach komercyjnych, szukając luk w ich sieciach. Robią więc to, czym po godzinach zajmują się jako LSD. Czy nie zastanawiali się nigdy nad świadczeniem podobnych usług pod tą nazwą? W końcu po ostatnim odkryciu jest to "marka" nieobca osobom odpowiedzialnym za bezpieczeństwo. "Niestety, w Polsce trudno zaistnieć bez produktu, który menedżer IT może w razie potrzeby pokazać swojemu szefowi. Firmy, które dokonują analiz, równocześnie oferują określone zabezpieczenia, co niekoniecznie jest najlepszym rozwiązaniem" - mówi Tomasz Ostwald.

Konkursowa farsa

Po ostatnich problemach z firmą Argus Software, członkom LSD pozostała niechęć do różnych konkursów hakerskich. "Warunki stworzone przez organizatorów daleko odbiegają od realiów, w jakich dokonywane są włamania w sieci. Startujący mają ograniczony czas na złamanie systemu. A jego konfiguracja jest sztuczna. Tak naprawdę są to głównie akcje marketingowe nie mające wiele wspólnego z prawdziwym testowaniem zabezpieczeń" - twierdzi Michał Chmielewski. Zarzekają się, że w kolejnym konkursie już nie wystartują. Na pewno jednak usłyszymy o nich przy innych okazjach.


TOP 200