Black Hat 'supertalk' suzdržan zbog zabrinutosti dobavljača

Black Hatova konferencija o sigurnosti ponovno je puna drame u Amsterdamu, s posljednjim otkazivanjem prezentacije skupine istraživača na rasporedu otkrivanja opasnosti od softverskog softvera.

U sklopu ovog tjedna, organizatori su promovirali razgovor koja bi bila na ljestvici nedostatka DNS-a (Domain Name System), istaknuta od strane istraživača sigurnosti Dan Kaminskyja na konferenciji u SAD-u u lipnju prošle godine.

Ali ovo se neće dogoditi. Tiskovna konferencija predviđena je za petnaest.

[

] [

] Pomanjkanje je toliko osjetljivo da čak i otkriće prodavača oštećenog može potencijalno uzrokovati hakerima da se pokreću oko aplikacije ili operacijske sustave kako bi ih uklonili pokušajte to utvrditi, rekao je Jeff Moss, izvršni direktor tvrtke Black Hat.

Neimenovani dobavljač rekao je istraživačima da bi moglo biti zakrpa spremna za mjesec dana, ali to bi moglo potrajati čak četiri mjeseca, rekao je Moss.

"Čini se da je teže zakrpati i teže riješiti tako da traje duže nego što su mislili", rekao je Moss.

Znanstvenici koji su prisutni u Black Hatu potiču se da prakticiraju ono što se zove "odgovorno otkrivanje" je obaviješten i dopušteno je izraditi zakrpu prije nego što se ranjivost javno objavi. Moss je rekao da se nada da će dobavljač i istraživači moći istovremeno objaviti zakrpu i detalje.

Ovo nije prvi put da je Black Hat bio na rubu otkrivanja ranjivosti. Ovaj put barem nije postojala nikakva pravna prijetnja dobavljaču, rekao je Moss.

U 2005, Michael Lynn, koji je radio za Internet Security Systems (ISS), pripremio je priču o tome kako Cisco Systems ' usmjerivači mogu biti udaljeno ugroženi. Cisco i ISS nisu željeli da učini prezentaciju i podnese tužbu da ga zaustavi. Te tvrtke također su podnijele tužbu protiv konferencije Black Hat.

Lynn je promijenio prezentaciju i umjesto toga govorio o VoIP (Voice over Internet Protocol). Nakon što je čuo glasove iz gomile, prebacio se na svoju izvornu temu. Lynn je morao napustiti svoj ISS ​​posao, a tužio je ISS i Cisco, ali tužbu je napokon padao nakon što se dogovorio da neće raspravljati o njenom sadržaju.

Ako organizatori Black Hat ne blefiraju, a ranjivost je toliko ozbiljna kao Kaminsky, to bi moglo značiti da mnoge tvrtke rade neku tajnu zakrpu.

Nakon što se jednom iskorištava kôd za neku ranjivost, igra je za hakeri koji će odmah pokušati pronaći ranjiva računala ili poslužitelje.

Kaminskyovo istraživanje potaknulo je neviđenu, industrijsku nastojanja da zakrpe DNS poslužitelje, koje koriste tisuće tvrtki, ISP-ova i drugih entiteta koji upravljaju mrežama. Mnogo toga posla obavljeno je u tajnosti kako se ne bi ukazalo na negativce.

Propust je pokazao da su DNS poslužitelji bili osjetljivi na napad koji bi mogao preusmjeriti web surfere na lažne web stranice čak i ako je URL ispravno upisan, među ostalim scenarijima.