Błędów typu 0day w popularnym oprogramowaniu można szukać na wiele sposobów. Można czytać kod źródłowy, można przeprowadzać procedury inżynierii wstecznej, można przepuszczać programy przez narzędzia do analizy statycznej, można także przeprowadzać proces zwany fuzzingiem (czyli zasilać wejścia programu mniej lub bardziej spreparowanymi danymi). Można jednak iść na skróty i błędy po prostu ukraść.
O ile np. NSA może podsłuchiwać ruch internetowy tysięcy serwerów i wychwytywać podejrzane pakiety, to zwykli przestępcy muszą sięgać do prostszych metod. Gdzie można znaleźć np. błędy w Firefoksie? Oczywiście w Bugzilli, czyli platformie rejestrowania i śledzenia błędów. Fundacja Mozilla dba o to, by zgłoszenia poważnych, niezałatanych błędów bezpieczeństwa były dostępne jedynie dla ograniczonej grupy użytkowników. Co prawda Buzgilla miała również swoje błędy, jednak tym razem przestępcy wybrali jeszcze prostsze rozwiązanie problemu.
Jak przyznaje się Mozilla, odkryto nieautoryzowany dostęp do konta jednego z uprzywilejowanych użytkowników Bugzilli. Nieupoważniona osoba miała dostęp do tego konta co najmniej od miesiąca i prawdopodobnie właśnie w ten sposób wykradła informację o błędzie wykorzystywanym na początku sierpnia w atakach na internautów. Wygląda na to, że ktoś odgadł lub znalazł w innym serwisie hasło jednego z użytkowników i wykorzystał je w niecnych celach.
Mozilla zidentyfikowała problem i wprowadza liczne ograniczenia. Zamierza zmniejszyć liczbę osób które mają dostęp do poufnych informacji o błędach oraz wprowadziła obowiązkowe uwierzytelnienie dwuskładnikowe. Lepiej późno niż wcale…
Aktualizacja: Na światło dzienne wychodzą kolejne kompromitujące szczegóły incydentu. Mozilla przyznaje, że nieautoryzowany dostęp do danych trwał na pewno od września 2014, a prawdopodobnie nawet od września 2013. W tym czasie ktoś mógł mieć dostęp do informacji o co najmniej 10 poważnych błędach związanych z bezpieczeństwem Mozilli zanim zostały one załatane:
- 2 błędy zostały załatane w ciągu 7 dni
- 5 błędów zostało załatanych między 7 a 36 dniami
- 3 błędy pozostawały niezałatane odpowiednio 131, 157 i 335 dni.
Komentarze
Czyli tak na chłopski rozum: Mozilla pozostawała dziurawa dla zamkniętej społeczności hakerów przez 335 dni? Zawsze w wyższość Opery :D
Zawsze wierzyłem*
Nie ma to jak robkc serwer z wlasnymi 0day’ami :D
Long live open source!