Zwycięzca PWN2OWN: za rok włamię się do Linuksa - dla zabawy
Shane Macaulay jest jednym z dwóch zwycięzców zakończonego w miniony piątek konkursu hakerskiego PWN2OWN - to on zdołał włamać się przez lukę w oprogramowaniu Adobe Flash do systemu Windows Vista. Krótko później Macaulay wystawił wygrany komputer na eBay'u - jednak aukcja została błyskawicznie anulowana przez pracownika serwisu aukcyjnego, ponieważ "była niebezpieczna dla użytkowników". W wywiadzie udzielonym Robertowi McMillanowi z IDG News Service Macaulay tłumaczy, że chciał w ten sposób sprawdzić, ile na wolnym rynku może być warta informacja o poważnym błędzie w popularnej aplikacji i zapowiada, że za rok - w kolejnej edycji PWN2OWN - być może włamie się do Linuksa...
Notebook Fujitsu ( wraz z zapisanym na dysku exploitem ), który Shane Macaulay otrzymał jako jedną z nagród za włamanie się do Visty, pojawił się w amerykańskim eBay'u wczoraj - na początku wydawało się, że to może być dowcip z okazji 1 kwietnia. Decyzja hakera wydawała się bardzo nierozsądna i sprzeczna zarówno za regulaminem konkursu PWN2OWN ( przewiduje on, że zwycięzca nie ma prawa ujawnić szczegółowych informacji o błędzie przed przygotowaniem poprawki przez producenta ), jak i z zasadami przeprowadzania aukcji w eBay ( serwis zabrania sprzedawania informacji o nowych lukach ). Macaulay tłumaczy jednak, że wszelkie zarzuty są chybione - aukcja miała zakończyć się dopiero 8 kwietnia, a do tego czasu gotowa będzie poprawka na ową lukę. Jego zdaniem nabywca komputera miałby doskonałą okazję, by dokonać samodzielnej analizy zawartości dysku i samodzielnie odkryć lukę i exploita - tak przynajmniej wynikało z opisu aukcji. Niestety, w zaledwie kilka godzin po rozpoczęciu aukcji została ona usunięta przez
pracownika eBay'a - o szczegółach tego incydentu Shane Macaulay opowiedział w wywiadzie udzielonym IDG News Service.
IDG News Service: Dlaczego postanowiłeś sprzedać notebooka na eBay'u?
Shane Macaulay: Przede wszystkim chciałem się zorientować, jaka może być rynkowa cena exploita typu '0 day' [tzn. takiego, który korzysta z niezałatanej jeszcze przez producenta luki - red.]. Uzyskanie takiej informacji jest niezmiernie trudne - choćby dlatego, że narusza to zasady eBay'a.
Wcześniej byłem już zaangażowany w kilka prób sprzedaży takiego "towaru" i mniej więcej wiem, jak to wygląda i jakie pojawiają się problemy. Gdy trafisz na uczciwego nabywcę - czyli np. firmę czy zespół, który chce kupić informację o luce i przeprowadzić własne analizy dotyczące bezpieczeństwa - to zwykle musisz mu najpierw udostępnić kod zanim otrzymasz pieniądze ( chodzi o sprawdzenie, czy jest on wart tych pieniędzy ). Ale wtedy nie masz już swojej karty przetargowej - kupujący może np. zażądać obniżenia ceny, a skoro zna już szczegółowe informacje o luce, to nie bardzo możesz dyskutować. Istnieje więc niebezpieczeństwo, że osoba która poświęciła mnóstwo czasu i pieniędzy na znalezienie informacji o błędzie nie będzie w stanie na tym zarobić.
Zdziwiłeś się, gdy eBay usunął aukcję?
Nie, bo trochę się pospieszyłem - rozpocząłem aukcję zanim wysłałem do eBay'a list, w którym zamierzałem dokładnie wytłumaczyć moje zamiary. Chciałem im powiedzieć - "Ta aukcja jest zgodna z waszym regulaminem i z zasadą nie sprzedawania informacji o lukach typu '0 day' ustanowioną przez sponsora PWN2OWN. Rzeczywiście wystawiony produkt ma aktualnie status '0 day' - ale w momencie zakończenia aukcji już tak nie będzie".
To był mój pomysł na rozpoczęcie licytacji i poznanie choćby orientacyjnej ceny exploita gdy luka wciąż zaliczała się do kategorii '0 day'.Co masz na myśli mówiąc, że luka "przestanie być 0 day"?
Chodzi o to, że powstaje już poprawka, która usunie lukę - co ważne, u większości użytkowników Adobe Flash zostanie ona zainstalowana automatycznie. Dziś rzeczywiście ten błąd może być wykorzystany do skutecznego zaatakowania większości użytkowników - aktualnie nie ma żadnej ochrony. Ale w dniu, w którym aukcja by się zakończyła, a zwycięzca dostałby swojego exploita, poprawka byłaby już dostępna.
Aukcja miała się zakończyć 8 kwietnia - kiedy pojawi się patch?
Właśnie w tym dniu.
Po zakończeniu konkursu mówiłeś, że ta luka występuje na 90% komputerów. Dlaczego zdecydowałeś się na zaatakowanie Visty?
Przede wszystkim dlatego, że w przeszłości bardzo długo zajmowałem się bezpieczeństwem tego systemu. Jestem zagorzałym użytkownikiem Linuksa, ale od 2001 r. nie pracowałem nad exploitami dla tego systemu. Od blisko dekady skupiam się na Windows - i dlatego świetnie radzę sobie z tym systemem. Żeby wrócić do Linuksa musiałbym się poważnie doszkolić...
Podczas konkursu poznaliśmy wiele najróżniejszych opinii specjalistów i użytkowników różnych systemów o bezpieczeństwie. Co warto z tego zapamiętać?
Ludzie chcą wierzyć, że dokonują dobrych wyborów - i zwykle są mocno przywiązani do rozwiązań, z których korzystają na co dzień. Jeśli więc używają jakiegoś systemu, to mocno wierzą, że postępują słusznie, bo to on jest najlepszy. Moim zdaniem nie ma między nimi większych różnic.
Weźmiesz udział w PWN2OWN za rok?
Jasne, trzeba trafić "trójkę" [w 2007 r. Shane pomógł wygrać 1. edycję konkursu przyjacielowi, Dino Dai Zovi - red.]. Już nawet wytypowałem kilka rzeczy, którymi warto się zainteresować...
Który system będzie twoim celem?
Może Linuks? Tak dla zabawy...