jueves, 30 de agosto de 2012

Doble zero day de un año de duración


Siempre que converso sobre seguridad IT le digo a quien quiera escuchar que los especialistas de AR son de lo mejor que se encuentra en la red. Son así los "buenos" (AKA "security engineer") y también los "malos" ("black hat dude").

Respecto del zero day de Java (son dos en realidad), que estuvo asolando la red desde abril de 2011, sin que nadie se entere hasta hace unos días, encontré un informe muy bueno de Esteban Guillardoy (una "java guy" de Immunity Inc. en AR). Programador Python de título y fama, también, según leo en:

http://www.linkedin.com/in/eguillardoy


La cosa es que escribió este informe:
http://immunityproducts.blogspot.com.ar/2012/08/java-0day-analysis-cve-2012-4681.html

Donde se puede leer exactamente cómo funcionan estos zero days.


Sigo leyendo las noticias de hace un par de días con pro-pánico mensajes de "desactiven Java ya!!!!", pero al día de hoy ya tenemos solución en puerta y parches de Oracle disponibles, pasen, vean, descarguen e instalen..nos vemos en 6 meses de vuelta! ...broma :-)

http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html


El racconto de ley: desde el 28 de Julio de 2011 existe este zero day (no sé si da llamarlo un "zero day" a algo que lo habrán explotado hasta reventar los servers), y en el mismo artículo podemos entrever cómo los kits se estuvieron "moviendo" en el inframundo del black hat hacking, probablemente proveyendo el zero day a los miembros de un círculo "de confianza", luego a los "de confianza" del círculo y así sucesivamente.

Obviamente la disciplina del secreto funcionó muy bien (durante un año++ completo), "saltando" la existencia del zero day por la "fuerza bruta" al haber tal cantidad de explotaciones que llamaba a los gritos a las empresas de seguridad para que prestaran recursos a investigar esa tormenta silenciosa de explotaciones.

El comentario y los detalles de los kits aca:
"Esteban Guillardoy, a developer at the security firm Immunity Inc., said the underlying vulnerability has been around since July 28, 2011."

http://krebsonsecurity.com/2012/08/java-exploit-leveraged-two-flaws/

Siempre que estoy en presencia de algun aspirante a security engineer que dice "estamos seguros porque está todo parcheado al día", me acuerdo de estas noticias y bue, no comment (no, no puedo sacarle el "aspirante" a quien se exprese de esa forma, sin alguna excusa razonable, como por ej. estar fuertemente medicado, etc.).

Layered Security please (for $DEITY sake), do the needful.
http://en.wikipedia.org/wiki/Layered_security

No hay comentarios: