13.04.2016 | 21:30

Adam Haertle

Badlock czyli najbardziej przereklamowany błąd roku 2016

Co prawda mamy dopiero połowę kwietnia, ale jesteśmy pewni, że osiągnięcie odkrywców błędu Badlock w Sambie trudno będzie pobić. Ogłaszany od tygodni błąd okazał się być niezbyt istotną podatnością o ograniczonym znaczeniu praktycznym.

Historia

Około 16 marca w sieci pojawiła się witryna badlock.org, zapowiadająca na 12 kwietnia ogłoszenie bardzo ważnego błędu w Sambie, dotykającego zarówno systemów Windows jak i Linux. Ogłoszenie było dużym zaskoczeniem – i to z kilku powodów. Przede wszystkim wcześniej nikt nie zapowiadał ogłoszenia poważnego błędu z takim wyprzedzeniem i jednoczesnym marketingiem (logo, strona, nazwa). Po drugie odkrywcą błędu okazał się jeden z twórców Samby – wcześniej autorzy oprogramowania po prostu publikowali aktualizacje usuwające błędy i nie robili z tego teatrzyku. Zaczęły się spekulacje dotyczące rodzaju błędu i wpływu na bezpieczeństwo sieci. Administratorzy na całym świecie spodziewali się, że biorąc pod uwagę rozmach promocji będzie to błąd umożliwiający zdalne wykonanie dowolnego kodu, być może także nieuwierzytelnionemu atakującemu. Niejeden badacz spędził pewnie sporo godzin na analizie kodu w poszukiwaniu RCE  i dzisiaj sobie pluje w brodę – bo były to godziny spędzone niepotrzebnie.

Błąd i jego znaczenie

12 kwietnia o godzinie 19 polskiego czasu nastąpiło długo oczekiwane ujawnienie błędu. Przez sieć przetoczył się odgłos ciężkich kamieni spadających z piersi administratorów Samby, ponieważ błąd okazał się być zaledwie atakiem typu Man-in-the-Middle, wymagającym możliwości podsłuchania ruchu sieciowego połączenia z serwerem Samby i umożliwiającym atakującemu podniesienie uprawnień. Co więcej przed takim scenariuszem ataku sam Microsoft ostrzegał już w roku 2009. Choć oczekiwania społeczności były dużo większe, to nie znaczy to bynajmniej, że błąd można zignorować – ciągle trzeba Sambę załatać.

Reakcja społeczności

Internet nie przyjął zbyt dobrze ogłoszenia błędu i związanego z tym rozczarowania. Najłagodniejsze komentarze mówiły na przykład „Odkrywca błędu zasługuje na CVE… Dla niego samego” lub „Ok, włamaliśmy się do sieci. Wyciągamy dane? Nie, są nowe rozkazy – DoSujemy Sambę!”. Oczywiście nie próżnowali też graficy. Powstały projekty koszulek:

Koszulki #badlock

Koszulki #badlock

czy też nieśmiertelne [MEMY]

[MEMY]

[MEM]

Nasze serce podbiła jednak witryna notoken.pl, parodiująca stronę błędu Badlock. Możemy na niej wyczytać, że już za trzy miesiące twórca wtyczki WordPressa ujawni odkryty przez siebie błąd we własnej wtyczce, polegający na braku tokena zapobiegającego atakom CSRF. Autorowi gratulujemy pomysłu i międzynarodowej sławy.

Można mieć tylko nadzieję, że fatalny finisz Badlocka zakończy serię błędów z własnymi stronami WWW zapoczątkowaną przez Heartbleeda (który jak mało który na taki serwis akurat zasługiwał). Jedno jest pewne – Badlock jest murowanym kandydatem do nagrody Pwnie dla najbardziej przereklamowanego błędu roku.

Powrót

Komentarze

  • 2016.04.13 22:14 Zuo

    Ha mogę powiedzieć a nie mówiłem !

    Odpowiedz
  • 2016.04.13 22:44 kez87

    Przereklamowany bo przereklamowany,ale do sprawdzania kodu Samby zachęcili ? Zachęcili :P

    Odpowiedz
    • 2016.04.14 08:36 Kamil

      Dla Javy i Flasha trzeba tego typu marketing zrobić, może coś poprawią. ;-) Chociaż akurat w tym wypadku pewnie to nikogo nie zdziwi, więc takiej akcji poszukiwania błędów to nie wygeneruje.

      Odpowiedz
  • 2016.04.14 10:01 Krystian

    i od niedawna – https://sadlock.org/ ;)

    Odpowiedz
  • 2016.04.14 16:25 Werner339

    No tak, czasy mamy takie że każdy próbuje wszystko – jak to się ostatnio mawia w korporacjach – monetyzować. Nawet kosztem zdrowego rozsądku.

    Pozdrawiam
    Werner339

    Odpowiedz
    • 2016.04.14 22:43 Alojzy Kloc

      Wszyscy jesteśmy ofiarami naszych czasów
      Pozdrawiam
      Alojzy Kloc

      Odpowiedz
  • 2016.04.18 22:28 Monter

    CustomInk nie sprzedaje poza USA i Kanadę… Szkoda.

    Odpowiedz

Zostaw odpowiedź do Zuo

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Badlock czyli najbardziej przereklamowany błąd roku 2016

Komentarze