Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

2-08-05 08:53
Može li se sigurnost postići zabranama?

piše ACO DMITROVIĆ

Na ovogodišnjoj hakerskoj konferenciji Black Hat dogodio se skandal koji je uzburkao duhove specijalista za sigurnost i narednih dana punio stranice medija. Michael Lynn iz tvrtke ISS trebao je održati predavanje pod naslovom "The Holy Grail: Cisco IOS Shellcode and Remote Execution". Na primjeru ranjivosti, koja je zakrpana još u travnju, namjeravao je demonstrirati rezultat svog šestomjesečnog istraživanja, izradu internetskog crva koji može zamrznuti CISCO-ve usmjerivače.

 

CISCO je zaprijetio tužbom, našto je ISS svom ekspertu zabranio nastup, a prezentacija je istrgnuta iz konferencijske publikacije. Tvrtka ISS priopćila je kako istraživanje traži dodatnu provjeru. CISCO-va glasnogovornica izjavila da njihova akcija, kojom žele zaštiti svoje kupce, nije usmjerena protiv činjenice da je ranjivost otkrivena, već radi toga jer se problemu pristupa "izvan dogovorenih sigurnosnih procedura". Lynn je pripremio zamjensko predavanje, no publika nije mirno prihvatila zabranu. Nakon što je ižviždan, Lynn je odlučio odgovoriti na izazov i održao zabranjeno predavanje, ali nije otkrio izvorni kod. Na predavanju je izjavio da je dao otkaz kako bi mogao slobodno govoriti, te da mu nije žao, jer je, u interesu nacionalne sigurnosti, želio ukazati na ozbiljnost problema. CISCO je, kako bi zaustavio distribuciju prezentacije, zajedno s ISS-om podigao tužbu protiv Lynna i organizatora konferencije. Prezentacija je uklonjena s weba, a organizator je predao video snimku predavanja.

 

No time ova zanimljiva priča još ne završava. Hakerska zajednica okupljena na sličnoj konferenciji, Defcon u Las Vegasu, zasukala je rukave da i bez Lynna napravi program koji bi dokazao da njegova upozorenja treba ozbiljno shvatiti. Jedan od sudionika, koji novinarima nije htio odati svoj identitet, izjavio je da su se prihvatili posla "jer je netko rekao da se to ne može napraviti!".

 

Situacija je očigledno uzburkala duhove. Nekolicina sudionika konferencije izrazila je žaljenje radi načina na koji je CISCO želio ušutkati raspravu. CISCO-va mrežna oprema, koja pokriva 60% tržišta, nije laka meta, lakše je provaljivati Windows računala. No ako se naprave i prošire alati za masovno provaljivanje CISCO-vih usmjerivača, možemo očekivati probleme nakon svakog otkrića nove ranjivosti IOS-a. U tom smislu CISCO-va bi se pravna akcija mogla pokazati kontraproduktivnom.

 

Stručnjaci za sigurnost i ovim povodom raspravljaju o tome da li se sigurnost računalnih mreža može postići prikrivanjem problema. Promašenost takve metode pokazuje i činjenica da su među sudionicima konferencije kolale kopije originalne prezentacije, koja je ubrzo osvanula i na Internetu.

 

Michael Lynn u međuvremenu je zatražio pravnu pomoć kako bi se obranio na sudu. Hoće li zainteresirane strane postići dogovor, ili će uslijediti iscrpljujući sudski proces protiv čovjeka koji je radi slobode govora ostao bez posla? Lynn bi lako bi mogao postati mučenik, simbol pojedinca koji se bori protiv moćnih korporacija, zastupnik javnog interesa i slobode govora. Očigledno je da priča nije završena, te da ćemo uskoro moći pratiti njezin nastavak.


http://www.computerworld.com/securitytopics/security/story/0,10801,103539,00.html

http://www.computerworld.com/securitytopics/security/story/0,10801,103607,00.html?from=story%5Fkc

 




[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr