الثّغرات والكشف الّلامسؤول: موظّفوا غوغل كنموذج
الكاتب: بشار | يوم: 15 يونيو, 2010 | التعليقات: 21 | القراءات: - عدد المشاهدات 13٬010
كشف أحد الباحثين الأمنيّن في جوجل ترافيس اوماندي عن ثغرة في نظام التّشغيل ويندوز اكس بي، وتحديداً في مركز المساعدة والتحليل الأمني. لا مشكلة لحدّ الآن. ولكن عندما نعرف أنّه راسل مايكروسوفت حول الثغرة في الخامس من هذا الشهر، وكشف عنها تحت ما يسمى “الكشف الكامل” بعد 5 أيام فقط يدّل على سوء نيّة من قبل هذا الباحث تجاه مايكروسوفت. أنا لست هنا في صدد الدّفاع عن مايكروسوفت. ولكن فترة خمسة أيام بالتّأكيد غير كافية لاصلاح الثغرة (خصوصاً أنّه تلقى ردّاً من الشركة في نفس اليوم) والتي جاء الكشف عنها في الوقت الذي أصدرت فيه مايكروسوفت ترقيعات الشهر الحالي.
المشكلة في هكذا كشف وبهكذا طريقة أنّه يعرض الكثير من الأشخاص والشركات لخطر الاختراق. أي تحديث لأي ثغرة يتم بفترة فحص للتّأكد من سلامته وكذلك من عدم تسببيه لأي مشاكل، هذا بالنّسبة للمطوّر. في حالة الشركات، الشركات تحتاج الى فترة اختبار لهذا التحديث للتّأكد من أنّه لا يسبب مشاكل وتحديداً مع البرامج التي تستخدمها الشركة.
لم يسبق لباحث مسؤول ومعروف أن قام بما قام به ترافيس (على حدّ علمي). كان من الأفضل لو أنّه انتظر عدّة أيام وحتى أسابيع قبل أن يقوم بكشف الثغرة وطريقة الاستغلال على الملأ. الآن الثغرة جاري استغلالها ولا يوجد حتى الآن حل لها. فماذا استفدنا من كشفت يا استاذ ترافيس غير وجع الرّاس.
لماذا اعتقد أنّ هذا الكشف غير بريء بالمرّة؟
الشهر الماضي اصدرت غوغل تصريح طلبت فيه من موظفيها التخلّي عن نظام التّشغيل ويندوز لأنّه مشكلة أمنيّة. الكثير من الباحثين انتقدوا غوغل في تصريحها هذا. ليأتي بعد ذلك الكشف اللّامسؤول عن الثغرة.
جرى العرف لدى الباحثين بالتوافق مع الشركات على أن يقوموا لدى اكتشافهم لثغرة بمراسلة الشركة المطوّرة واعلامها بالثغرة، ومن ثمّ تقوم الشركة بعمل ترقيع للثّغرة وبعدها يتمّ الكشف. حصل ذلك مع دان كامنزسكي والثغرة التي وجدها في DNS وغيره كثير. من خلال متابعتي لهؤلاء الباحثين وتصريحاتهم، تعتبر مايكروسوفت سريعة في الرّد على هؤلاء الباحثين. الأمر الذي يعدّ مشكلة هو أن عمليّة تطوير ترقيع من قبل مايكروسوفت تستغرق وقتاً طويلاً. ولكن هذا لا يبرر اعطائها فترة خمس أيام فقط للعمل على ترقيع الثغرة ونشر الترقيع وفي هذه الفترة تحديداً والمعروفة بالثلاثاء الاسود.
هذا نفاق من شركة غوغل (التي تنادي دائماً بالكشف المسؤول) ما بعده نفاق. البعض قد يقول انّه لا دخل لغوغل في ذلك. ولكن كل الدلائل تشير الى ذلك. فالكشف عن الثغرات ليس نزهة بل يحتاج إلى وقت وجهد، وهذا موظف فمن أين له بالموارد؟ كذلك خلال كشفه شكر العديد من الباحثين الأمنيين في غوغل والذين ساعدوه في بحثه. فهل ساعدوه بدون معرفة غوغل؟ وفي وقت فراغهم؟ ثم لماذا جاء الكشف بعد ان ازدادت حدّة الهجوم على مايكروسوفت من قبل غوغل؟
الأمر الآخر هو أنّه سبق وان راسل باحثون غوغل حول ثغرات اكتشفوها في جي ميل و تطبيقات غوغل مثل غوغل doc، ولم تقم غوغل بالرّد عليهم بل حتى قامت بإغلاق هذه الثغرات بدون أي إشارة إلى هؤلاء الباحثين. (تماماً كشركة أبل).
الكشف المسؤول أمر ضروري حتى تتمكن الشركات من اصلاح الثغرات قبل ظهورها للعلن واستغلالها من قبل عصابات الانترنت وغيرهم. إساءة استخدامه تأتي بنتائج سلبية على الجميع. شركة غوغل وموظّفوها يجب أن يكونوا قدوة في الكشف المسؤول لا في ضدّه.
بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.
التعليقات:
اترك تعليقاً | عدد التعليقات: (21)
جاري التحميل ...
بصراحة رأيك منطقي يا بشار و أوافقك فيه
لكن هل هناك قوانين أو معايير تقيد إخراج الثغرة؟
هل إذا انتظر لمدة أسابيع كانت مايكروسفت ستغلق الثغرة ؟ إذا كان الجواب نعم فلماذا مشروع مثل الميتاسبلويت يحمل ثغرات من XP إلى Vista ؟ لماذا نجد ثغرات من IE 5 إلى IE 7,8 هل مايكروسفت لم تعلم بوجود هذه الثغرات أو لم تسمع عنها ؟
لماذا لا يكون التفكير بهذا المنطلق أيضا.
ملاحظة: أنا لا أدافع عن ما فعله الباحث من جووجل لكن أقول ما الذي يمنعه ؟ (أتحدث بعيدا عن أخلاقيات المنافسة و ما يتعلق بها)
رايك سليم مئه بالمئه ولكن ليس مع مايكروسفت فلو تتذكر الواقعه التى تمت منذ شهرين تقريبا عندما ارسل باحث امنى وهو Laurent Gaffie تحذير بوجود ثغره SMB2 فماذا كان رد الشركه ان الثغره ليس لها اى علاقه بالنظام نفسه ولكن تتعلق IPv6 وبعد ذلك اقروا بوجود الثغره بعد نشرها وتقريبا موضوع الكشف عن الثغرات المتتالى هو خطه مدروسه وذلك لعلاقه كلا من الباحثين ببعضهما البعض
الثغرة التي تقصدها أخي الكريم تمّ الكشف عنها العام الماضي، وتحديداُ شهر سبتمبر. وهذا النّص مقتبس من الاعلان:
Vendor contacted, but no patch available for the moment.
Close SMB feature and ports, until a patch is provided
ما الفرق بين الثغرتين؟
التي كشف عنها لورينت:
1- لم تعمل بالشكل المطلوب وهو ما عزاه البعض لعدم رغبته في وضع الكود الكامل لحين انتهاء مايكروسوفت من اغلاقها.
2- هناك كان اكثر من طريقة لاغلاقها لحين اصدار تحديث.
3- الشركات التي لديها المنفذ 445مغلق على الانترنت (وهو الوضع الطبيعي) لا تتأثر بالهجوم.
التي كشف عنها ترافيس (غوغل)
1- تعمل كما هو مشروح.
2- لا يوجد حلّ لها ولا أي طريقة لاغلاقها لحين اصدار ترقيع. مع العمل أنّه قام بذكر طريقة لذلك الا أنّها بعد التجريب لا تعمل.
3- يمكن لاي حاسوب متصل بالانترنت يقوم بزيارة موقع مسيطر عليه من قبل المهاجمين ان يتعرض للاصابة.
هل عرفت الآن الفرق أخي الكريم؟
صبري الثغرات التي تجدها في ميتاسبلويت في الغالب تكون هناك ترقيعات لها. قلّما تجد ثغرات في ميتاسبلويت لا يوجد لها ترقيعات.
نحن لا نريد أن نخلط بين ترقيع صدر ولم يكلّف مدير الشبكة نفسه عناء التحديث كما حصل مع كثير من الشركات أيّام Confiker، وبين نشر استغلال لثغرة قبل ان يعطى المطوّر فترة لاغلاقها. في حالة مايكروسوفت هناك الدورة العاديّة للثغرات والتي تكون في الثلاثاء الثاني من كل شهر والتي تعرف بالثلاثاء الاسود. وهناك ترقيعات خارج هذه الدورة والتي تدعى ب out of band نظراً لخطورتها وسهولة استغلالها.
الأمر الآخر الذي يجب أخذه بالاعتبار هو الفترة الزمنيّة للانتهاء من التطوير. متصفح موزيلا الشهير المعدّل لديهم لاغلاق الثغرات هو 10 أيام. لاحظ أننا نتكلم عن برنامج واحد. فكيف بنظام تشغيل يحتوي على اضعاف مضاعفة من الكود. كذلك لا يجب اغفال فترة اختبار الترقيع، هناك شركات لديها مئات الاف الحواسيب تخيل لو قامت شركة كمايكروسوف باصدار تحديث ولم تقم بفحصه بشكل كافي ما الذي سيحدث؟
لا يوجد قوانين ولا لوائح تقيّد اخراج الثغرات، ولكن هو امر اخلاقي اتفق عليه بين الباحثين. ولهذا تجد الغالبية الساحقة من الباحثين يلتزمون به. القلّة فقط هي من لا تلتزم لدوافع الشهرة كما حصل في بعض الحالات أو غيرها كما هو الحال هنا.
تخيّل لو كشف دان كامنزسكي عن ثغرة ال DNS بعد شهر وليس بعد خمسة أيام عنها وعن كيفيّة استغلالها. ما الذي كان يمكن أن يحدث؟ دان تصرّف بمسؤوليّة وعمل بشكل متواصل مع كافة الجهات لاغلاق الثعرة قبل الاعلان عنها.
للتّاريخ فقط أول من وضع الاساس لسياسة الكشف الكامل هو rain forest puppy وهو أحد أشهر الباحثين الأمنيّين، والذي حقيقة أكن له احترام كبير. ويمكن الاطلاع عليها هنا http://www.wiretrip.net/rfp/policy.html
لاحظ ان فيها يمكن للباحث في حالة عدم رد المطوّر عليه بعد خمسة ايام على مراسلته الحق في نشر تفاصيل الثغرة، وهو بالطبع ما لم يحصل هنا. كذلك يمكن للباحث وفقاً لتقديره الاعلان عنها بعد الخمسة الايام بعد الاتفاق مع المطوّر وهو أيضاً ما لم يحصل في هذه الحالة. ويجب على الباحث احترام رغبة المطوّر بالتّأجيل وهذا على الاغلب لم يحصل من قبل المطوّر أيضاً.
نحن هنا لا نتكلم عن شخص مجهول. نحن نتكلم عن شخص معروف وفي موقع مسؤوليّة وهذا العمل لا يليق به بالمرّة. يعني هل يعتقد أنّه بعمله هذا سيجبر مايكروسوفت على العمل على الانتهاء من الترقيع في وقت أسرع؟ وكم يعتقد الوقت اللازم؟ وهل ناقش مايكروسوفت فيه؟ الظاهر أنّه لم يقم بذلك وإلّا لكان ذكره.
أنا أوافق أخ بشار فيما قاله كان يجب على الباحث الأمني الانتظار إلى أن يصدر الترقيع وعدم إظهار كود الاستغلال لأنه بهذا عرض أجهزة الناس الغير ملمة بالأمن المعلوماتي للخطر وأنا جربت الاستغلال صراحة خطير جدأ وتم إضافته لمشروع ميتاسبلويت بإمكانك مشاهدة فيديو لكيفية الاستغلال + منع الاستغلال:
الاستغلال:http://vimeo.com/12548858
منع الاستغلال:http://vimeo.com/12548922
من متابعتي لموضوع الثغرة من كم يوم توصلت للتالي:
1- العمل كان شخصي ولا اتوقع ان تكون شركة جوجل وراء هذا الشي، بدليل انه استخدم ايميله الشخصي، حتى استشارته وطلب المساعده من اشخاص في جوجل لا يعني ان الشركة وراء هذا. بمعنى اخر، لا يوجد دليل قاطع ان جوجل وراء هذا العمل.”انا لا ادافع عن شركة جوجل ابداً”…
2- من وجهة نظري، يجب ان تأخذ جوجل موقف من الباحث وتعطيه انذار بسبب انه اساء لسمعة الشركة حتى لو انه اكتشفها في وقته الخاص.
3- اما ترافيسن فهو مخطئ ومخطئ، لانه لم يعطي الوقت الكافي للبحث عن حل مع الشركة كما تفضلت اخي بشار. والشيء الاكبر حماقه منه هو نشر كيفية الإستغلال في وقت مبكر ووقت حرج للشركة. كان ممكن يقول انه هناك ثغرة ولكن بدون نشر الإستغلال، اما قوله بأن مايكروسوفت لن تنظر له الا بوجود استغلال فهذا كذب منه.
4- بالنسبة للحل، يوجد حل هنا http://support.microsoft.com/kb/2219475 حتى يتم اصدار باتش في الشهر القادم.
———
بالنسبة للثغرات اللي تكون في ال metasploit ففلسفة الفريق في الميتاسبلويت هو ان اي ثغرة 0day بدأ ينتشر استغلال لها بين الجميع، من حق مستخدمين metasploit ان تكون موجوده فيه. فهم لا يقومون بكتابة استغلال لثغرة لم تنتشر بين الجميع..
تحياتي لكم
بغض النظر عن مافعله باحث شركة Google ..
الا ترئ معي يا أستاذ بشار أن فترة 5 ايام كافيه لعمل رقعه أمنية لثغرة واختبرها أيضا ؟؟
بالنشبة لشركة مثل مايكرسوفت التي لديها المئات بل الآلف من الموظفين المختصين بأمن النظام .
بصراحة أجد أن فترة الـ 5 ايام التي انتظرها موظف قوقل ماهي الا “كرم” منه في ضل عدم تواجد
دافع مادي او معنوي له من مايكرسوفت تمنعه من نشر استغلال الثغرة .
[…] This post was mentioned on Twitter by Tareq doufish, sophto_92. sophto_92 said: الثّغرات والكشف الّلامسؤول: موظّفوا غوغل كنموذج http://bit.ly/cPPZeZ […]
اخي الكريم
اعتقادي بكشف الثغره سريعها لان اكس بي تقريبا وقف دعمها من مايكروسفت
كما انه بالاونه الاخيره مايكروسفت اوقفت ترخيصها لشركات المحمول بتنصيب النظام على اجهزتها في خطوه لالغاء النظام
وايضا ليس بصعب على خبراء مايكروسفت اغلاق الثغره ب 5 ايام
لاتنسى انك تتكلم عن فريق يضم الاف
مقارنه بالاينكس بعض الثغرات يتم ترقيعها باقل من يومين ..
هذا الكلام مصيبة أكثر. يعني على فرض توقف دعمه هل هو يحاول اجبار مايكروسوفت على اصدار ترقيع في فترة زمنيّة قصيرة؟ أم يجبر المستخدمين على استبدال النّظام؟ نظام اكس بي لا زال مدعوم الذي توقف او قد يتوقف دعمه هو اكس بي SP2 وليس SP3.
الثغرة بدأ بالفعل استغلالها من قبل عصابات النّت. لا شكر لترافيس على الموضوع.
الثغرات تحتاج إلى أكثر من 5 أيام لاغلاقها طبعاً ليس كل الثغرات كذلك. ولكن حتى لو كانت كذلك. وتمّ اغلاقها من قبل المطوّر فهي تحتاج الى فترة اختبار. لا يعقل اغلاق الثغرة ونشر الترقيع بدون اختباره للمشاكل العديد التي سيببها هذا الأمر.
بس حاب اوضح نقطه للشباب اللي يقولو انو خمسة ايام كافية، ترا احنا نتكلم عن شركة كبيرة بملاين المستخدمين لأنظمتها هذا غير الشركات… اكيد ممكن يعرفو حل للثغرة في يوم واحد او يومين، لكن هناك طريقة وعملية طويلة يجب ان يمر بها الترقيع قبل اصداره هذا اولاً. ثانياً، مايكروسوفت تصدر تحديثاتها في يوم الثلاثاء في الأسبوع الثاني من كل شهر، الا في حالة out of band للثغرات اللي تأثر شريحة اكبر مثل ثغرات IE.
وزي ماذكر الاخ بشار ان شركة موزيلا وهي شركة صغيرة وماعندها منتجات بحجم مايكروسوفت تاخذ ١٠ ايام كمعدل لإصدار تحديث.
تحياتي
كما قلت يا خوي يا بشار أنا أوافقك في الرأي كما أوافق مهند (مرحبا بك) , و أحمد الشمري(الزائر المخلص)
لكن أحببت أن أقول رأي من وجهة نظر أخرى (و إن لم تكن وجهة نظري الشخصية) لكي أستفيد من النقاش بشكل أكبر
بالطبع أي شركة تحتاج وقت للترقيع ,,
لكن لماذا تربط هذا الحدث مع شركة جووجل؟ لا أظن جووجل ستسمح بخطأ مثل هذا يحصل
أخي صبري … الربط سببه هذا
http://www.npr.org/templates/story/story.php?storyId=127874297
طبعاً الخبر معروف منذ أكثر من شهر.
كما ذكر عدّة باحثون مختصون في هذا المجال. أن تغيير النّظام لا يعني بالضرورة أنّك ستصبح أكثر أمناً ولكن غوغل لديها مآرب أخرى. راجع التدوينة الأصلية وستجد روابط تتحدث عن الموضوع بالتفصيل وتربط غوغل في الموضوع.
أذا كانوا يحتاجون لشهر كامل حتى يقومون بنشر رقعة أمنية للمستخدمين فهذه تعتبر كارثة .. 🙂
والله غريب جداً ترافيس ورغم خطورة الثغره وامكانية تضرر الكثير من المستخدمين ل xp من شركات وافراد من عصابات النّت
ما اعطى وقت كافي ابداً وحتى له اكتشافات سابقة للثغرات في انطمة اللينكس و في الجافا و adobe لكن اعطى وقت بل شهور
ولا نزل استغلال الا بعد الترقيع بفترهـ ومنها اذا تذكرون ثغرهـ الجافا الي اعلن عن استغلالها قبل شهرين
وقبل فتره اعلن عن ثغره في flash ولا نزل استغلال ليومنا ذا..
تحياتي ودمتم بخير
مشكور على الطرح الجميل اخ بشار، بس صراحة لا اوافقك الرأي وما فعله الهاكر في نظري صحيح مية المية ليش؟
ما دام توجد ثغرة فانا اعلم تماما سوف يقوم بنشرها سواء كانت بطريقة جهرية (كما حصل) او بطريقة سرية (مع اصحابة مثلا او underground members ووووو). لذا كان من الافضل ان يجهر بها ويعلنها على الملأ حتى يحرج الشركة وتستعجل في اصدار الترقيع.
اتوقع هذه الاستغلالات سوف تدفع الشركات الى تغيير خطط التعامل مع امور امن المعلومات. يا اخي على الاقل ان تستحي شركة مايكروسوفت وتقوم باكتشاف ثغراتهم بنفسهم مش تكتشف عن طريق غيرهم
فاقدم ثغرة في تاريخ الويندوز (عمرها 17 سنة) اكتشفت عن طريق هاكر من قوقل
هذه الثغرة من قوقل
ثغرة استغلال متصفح الانترنت اكسبلورر عن طريق اطفال مسابقة pwn2win
وووووووووووو
اذا هم مش قادرين او مستخفين بالموضوع فليتعاقدوا مع شركة قوقل للحماية
هههههههههههههه
أخي الذي اكتشفها ليس هاكر، بل باحث أمني ويفترض أن يكون عند حس بالمسؤولية. الأمر الآخر هل تعتقد أن الترقيعات الشهريّة هي لثغرات اكتشفها الباحثون او الهاكرز؟ فريق مايكروسوفت الأمني يعمل وبشكل متواصل والغالبيّة العظمى من الترقيعات تأتي بسبب كشف هذا الفريق لها وليس لكون هاكرز قاموا باكتشافها. أشهر مثال على ذلك هو Confiker. مايكروسوفت قامت فجأة باصدار تحديث خارج الدورة العادية للتحديث، بعد شهرين ظهر استغلال للثغرة. (عبر الهندسة العكسية) العديد من الشركات اصيبت بهذه الدودة لماذا؟ لم يقوموا بعمل التحديث حتى بعد مرور شهرين على صدروه.
للعمل فقط شركة مايكروسوفت من اكثر الشركات انفاقاً على أمن المعلومات ومن أكثر الشركات التي تأخذ الموضوع بجديّة. رين فورست بابي قام بمراسلتهم بخصوص ثغرة اكتشفها وارسل لهم بريد الكتروني في الساعة الثانية صباحاً (على ما اذكر) واستلم منهم رد بعد ذلك بخمس دقائق. غوغل راسلها باحثون ولم تكلف نفسها عناء الرّد عليهم أبداً. بعد ذلك نقول مايكروسوفت تستخف بالموضوع؟!!
اووه آسف لم انتبه الى انه باحث، على كل حال
صراحة لا ازال اعارضك في كونة من المفترض ان يكون عنده احساس بالمسؤولية. انا في نظري كل من يعرف ثغرة من الافضل ان ينشرها بسبب احتمال ان يكون اكتشفها شخص اخر ويهاجم الناس بها دون علمهم. اذكر في في احدى نسخ مسابقات pwn2win كان هاكر قد اكتشف ثغرتان فاستخدم واحدة واحتفظ بالثانية للعام القادم. يا ترى سنة كاملة ومعه ثغرة ولا احد يدري؟؟؟ ماذا لو تم استخدامها في سرقة الاموال (او على الاقل سرقة اموالنا نحن المسلمين). لاحظ يوجد من يعمل ذلك.
ثم ليس معنى الرد السريع انه اكثر اهتماما بمسائل الامن الحكم يكون بجودة المنتجات. يكفي انهم كانوا هم السبب في خروج قوقل من الصين بل يمكن تأثرت شركات وداي السيلكون.
على كل حال، احببت فقط ان ارد على شئ شدني ولو كانت مدونتي والله ما كلفت نفسي تعب الكتابة او الاشارة الى شركة مايكروسوفت ولو بالغلط، ببساطة لانهم ما يستاهلوا فكيف بان اغضب في حال اصابهم مكروه. ولو قلنا يجب عدم نشره هذه الثغرات حتى لا تتعرض انظمة عامة الناس للاختراق فهذا غير صحيح فعليهم التعلم ما هو الافضل وفي حال صدور ثغرة كيف يتم سدها من دون حوجة الشركة. وهو ما موجود فقط في المصادر المفتوحة.
الف مليون تحية لاصحاب المصادر الحرة.
# Sudanese Hunter: أخوي أحس أنك فهمت بشار خطأ
أنت تقصد أنه ينشر الثغرة بغرض التحذير منها ,, لكن بشار يقول لماذا لا يحذر الشركة نفسها (هي أولى) لو كان ينوي خيرا.
أنا لا أخالفك على نصائب مايكروسوفت الأمنية , و حتى إن أنفقت ملئ الأرض ذهبا على الأمن فما الفائدة من مصاريفها و نظامها يعج بتلك الثغرات الأمنية ؟
الفكرة يا أخوي هي أخلاقيات الباحثين الأمنين , فالفرق بين الباحث و الهاكر هي الأخلاق وليس المعرفة بالاختراق
——————
أوفق بشار في رأيه إلا أنني ما زلت أقول لو كانت تحدث بهذه السرعة , لماذا الثغرات في IE تضل على مر العصور في مايكروسوفت ؟ أقصد IE 5,6,7,8 ؟
تريد ان تقول لنا انك كنت اكثر امانا قبل النشر ؟ خخخخخخخ
رغم الموضوع قديم
انا شخصيا اشوف مدة 24 ساعة كــــــــافية لشركة عملاقة
يكفي انو راسلهم