Błędy w swoich programach znajdziecie sami. Pokażę jak

Błędy w swoich programach znajdziecie sami. Pokażę jak26.03.2010 17:00
Błędy w swoich programach znajdziecie sami. Pokażę jak
Źródło zdjęć: © IDG.pl

Charlie Miller, trzykrotny zwycięzca hakerskiego konkursu Pwn2Own zapowiedział, że nie przekaże producentom złamanych przez niego programów informacji o znalezionych lukach. W zamian poinformuje przedstawicieli Adobe'a, Microsoftu i Apple'a jak je wykryć.

Miller stwierdził, że jest rozczarowany podejściem firm do kwestii bezpieczeństwa w tworzonych przez nie aplikacjach.

"Znajdujemy błąd. Oni go łatają. Znajdujemy następny błąd. Znowu go łatają. Takie postępowanie nie poprawia bezpieczeństwa produktu" powiedział Miller.

Miller napisał proste narzędzie, które automatycznie wyszukuje luki bezpieczeństwa w aplikacjach. Stosowana metoda znana jest jako fuzzing i polega na wprowadzaniu do aplikacji różnych wadliwych danych i obserwowaniu reakcji aplikacji. Za pomocą swojego programu Miller szybko odkrył 2. błędów w Safari i samym systemie Mac OS X 10.6. Narzędziu nie oparł się też Power Point, PDF Viewer Adobe'a a także pakiet biurowy OpenOffice.org.
Miller odniósł się też do krytyki, jak spotyka go za nieprzekazywanie informacji na temat znalezionych luk bezpieczeństwa producentom złamanych przez niego aplikacji.

288757408200013971
Źródło zdjęć: © (fot. IDG.pl)

"Więcej sensu ma nie mówienie o tym" twierdzi Miller. "To, co mogę zrobić to powiedzieć im, by znaleźli błędy i by zrobili to, co sam zrobiłem. Może wówczas częściej będą stosować fuzzing." dodał. Miller ma nadzieję, że swoim postępowaniem wywrze presję na programistach tworzących produkty z lukami bezpieczeństwa, by więcej uwagi poświęcali zagadnieniom bezpieczeństwa.

Millera szczególnie zirytowało to, w jak prosty sposób znalazł błędy. Jego zdaniem nie wymagało to specjalnych zabiegów. "Postąpiłem szablonowo, a pomimo to znalazłem błędy" - powiedział.

O sposobie znalezienia 2. luk Miller ma opowiedzieć na specjalnej konferencji towarzyszącej Pwn2Own.
Miller jest specjalistą od łamania Safari. W 2008 i w 2009 r. we wcześniejszych edycjach konkursu hakerskiego Pwn2Own włamał się do przeglądarki Apple'a. W tym roku udało mu się to zrobić po raz trzeci. W nagrodę otrzymał notebook, 10 tys. dolarów i bilet na konferencję DefCon w Las Vegas, która odbędzie się latem tego roku.

Źródło artykułu:idg.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)