InfoSec / Oh Look Apple Worm!

[ssulti]

Seuraava sankari. Ilmeisesti löytänyt jonkun mDNS/Bonjour aukon, mutta kieltäytyy raportoimasta Applelle ja tekee madon. Ilmeisesti haluaa saada "tuntemattomalta taholta" rahat ensin "fully weaponized" versiosta ennen kuin kertoo tarkemmat tiedot Applelle. Pistää vähän haisemaan...

http://www.beskerming.com/commentary/20 ... Your_Apple
http://infosecsellout.blogspot.com/2007 ... -worm.html

Ensimmäinen vakavasti otettava? Ai niin, tuo vaatii toimiakseen sisäverkon, kun tuskin monikaan ottaa vastaan verkosta UDP liikennettä, jota Bonjour on?

[jussij]

Pistää vähän haisemaan...


Ensimmäinen vakavasti otettava? Ai niin, tuo vaatii toimiakseen sisäverkon, kun tuskin monikaan ottaa vastaan verkosta UDP liikennettä, jota Bonjour on?

-Artikkelit ei sano että kieltäytyy raportoimasta. Se kertoo että raportoi applelle kunhan saa tutkimuksensa loppuun. Toki se miten Apple on kohdellut aikaisempia ongelmien raportoijia, on saanut eri tahot kieltäytymään raportoinnista, joten toivotaan että kertoo tutkimuksensa loputtua. Olen myös kuullut että Apple on pikkuhiljaa siirtymässä oikeaan suuntaan tutkijoiden bugi-ilmotuksissa. ts ei enää käsitellä PR:n kautta, itsellä ei kokemusta Applen incident handlerien kanssa vielä joten kommenttini on enemmän tuttujen kertomia, mutta itsellä kyllä monen muun vendorin tavasta toimia on kokemusta.

toinen juttu on että Tigerissä oleva firewall by default toimii kuten vanhat pakettifiltterit. Defaulttina sallitaan dchp ja bonjour verkosta. Eli noiden lisäksi jos fixaa hyökkäyksen source portin noiksi, niin voi hyökätä mitä tahansa UDP perustaista palvelua vastaan. (toki niiden pitää olla haavoittuvaisia).

Hyvä esitys löytyy täältä:
http://blog.washingtonpost.com/security ... -Beale.pdf

[Macpoika]

Toki se miten Apple on kohdellut aikaisempia ongelmien raportoijia, on saanut eri tahot kieltäytymään raportoinnista

Miten Apple on niitä kohdellut?

[jussij]

Toki se miten Apple on kohdellut aikaisempia ongelmien raportoijia, on saanut eri tahot kieltäytymään raportoinnista

Miten Apple on niitä kohdellut?

-Tämä vaatisi pitemmän vastauksen kun nyt kirjoitan jotta voisin pointata asioita selkeästi ja siten että se ottaisi kaikki huomioon ja voisin laittaa tarpeeksi esimerkkejä, mutta yleensä jos vendorille ilmottaa bugeja, niin sieltä tulee säällisen ajan kuluessa vastaus (e.g min 1-5 päivää) että olemme vastaanottaneet viestisi, ja tutkimme asian ja palaamme. tämä voi olla myös automaaginen ja siten välitön. Sitten noin 10-15 pvän kuluessa tulee viesti että emme pysty toistamaan löytöäsi ja saammeko lisätietoa tai sitten tulee että asia näyttää selvältä, ja voisimmeko koordinoida advisoryn ilmottamisen. Tämä toimii esim MS:n kohdalla nykyisin todella hyvin (ei toiminut noin 7 vuotta sitten mutta nykyään toimii).
Apple on nykyisn bugien löytäjien kohdalla noin samassa kohdin kuin MS noin 6 vuotta sitten - bugit käsitellään PR:nä, ja "denial" juttuna. Tämä on tosin muuttumassa parempaan suuntaan, hitaahkosti - esim lue Steve Manzuik:n postaus joko Full-Disclosure tai DailyDave listalle tai Matasanon blogien kommenttiin en nyt varma minne hän mailas asiasta, mutta joidenkin ns. bughuntereiden osalta vahinko on jo ikävä kyllä tapahtunut.
obs: Kuten sanoin niin itsellä ei kokemuksia Applen security bugien käsittelystä (vielä) mutta aika monen muun vendorin kanssa kyllä, mukaanlukien MS (sekä ennen tuota Billin memoa että jälkeen), joten kommenttini Applen osalta perustuvat tuttavieni saamaan kohteluun, ja tämänkin osalta siirtymää parempaan on. Jos jollakulla on oikeasti kokemusta miten Apple käsittelee security bugit nykyään niin olisi varmaan hyvä jos laittaa tähän threadiin. Siis ei että Apple julkaisee patcheja joka osottaa tietoturvallisen development, vaan jos oikeasti postaat bugeja millasen kohtelun saat.
Esim:
kun postaat bugin, niin miten nopeasti saat ACK:n vastaanottamisesta, miten nopeasti saat case numeron, miten hyvin pidetään ajantasalla, miten asian julkistaminen tai pätsääminen sovitaan etc. ja kokonaisaika.

Itsellä viimeisin bugi yhden vendorin osalta kesti ilmotuksesta 2 päivää kun kuulin mitä asian kans tehdään.

[Korkkinen]

"Esim:
kun postaat bugin, niin miten nopeasti saat ACK:n vastaanottamisesta, miten nopeasti saat case numeron, miten hyvin pidetään ajantasalla, miten asian julkistaminen tai pätsääminen sovitaan etc. ja kokonaisaika.

Itsellä viimeisin bugi yhden vendorin osalta kesti ilmotuksesta 2 päivää kun kuulin mitä asian kans tehdään".

Viimeisen 9 vuoden kokemuksella; bugin vastaanotosta tulee vastaus n. 1 h:n sisällä, casenumero tulee samantien. N. 1-7 päivää menee kun on varmennettu tapaus; uusi, vastaava kuin jo löydetty, tarvitsee lisätietoa jne. Joskus tulee kysely melko pian (1 vrk) tarkemmasta kuvauksesta, testipyynnöt 1 - 3 päivää.

Hyvin on tähän mennessä toiminut...mielestäni.

Niin, ja kannattaa muistaa että niitä viestejä heille tulee suht. paljon, henkilöitä käsittelemässä on rajallinen määrä sekä tärkein: hötkyilemällä tehdään pas...

"Vendoreilla" on eri käytäntöjä; riippuu mikä sopimuksen laatu ja mistä tuotteesta on kyse. Ja onko sopimusta sinun ja heidän väillä. Sopimus nopeuttaa/mahdollistaa varsinaista keskustelua.

Käyttiksiä ja softia ei kannata laittaa samalle viivalle raportoinnissa eikä testailuissa. Käyttisten kiertosykli on huomattavasti pidempi. Softat ovat pienempiä ja näin "nopeammin hanskattavissa". Käyttiksestä löydetyt bugit menevät harvemmin millään 24/7 vasteajalla ja että sinulle soitetaan henk. koht. ja sanotaan "kiitos"... ;-P

Aina kannattaa raportoida jos saa vian/ongelman toistumaan ja epäilee että kysessä on bugi/toiminnallinen ongelma tms. Kannattaa myös koittaa toistaa ongelma kaverin koneella.

[jussij]

[

Viimeisen 9 vuoden kokemuksella; bugin vastaanotosta tulee vastaus n. 1 h:n sisällä, casenumero tulee samantien. N. 1-7 päivää menee kun on varmennettu tapaus; uusi, vastaava kuin jo löydetty, tarvitsee lisätietoa jne. Joskus tulee kysely melko pian (1 vrk) tarkemmasta kuvauksesta, testipyynnöt 1 - 3 päivää.

"Vendoreilla" on eri käytäntöjä; riippuu mikä sopimuksen laatu ja mistä tuotteesta on kyse. Ja onko sopimusta sinun ja heidän väillä. Sopimus nopeuttaa/mahdollistaa varsinaista keskustelua.

Tuo kuulostaa todella hyvältä.
Onko kyseessä olleet tietoturvabugit vaiko "normaali" toiminnallisuusbugit? Nuo omat raportoinnit on olleet nimenomaan tietoturvaan liittyviä (samoin kuin omat esimerkit tuttavistani).

[Korkkinen]

[

Viimeisen 9 vuoden kokemuksella; bugin vastaanotosta tulee vastaus n. 1 h:n sisällä, casenumero tulee samantien. N. 1-7 päivää menee kun on varmennettu tapaus; uusi, vastaava kuin jo löydetty, tarvitsee lisätietoa jne. Joskus tulee kysely melko pian (1 vrk) tarkemmasta kuvauksesta, testipyynnöt 1 - 3 päivää.

"Vendoreilla" on eri käytäntöjä; riippuu mikä sopimuksen laatu ja mistä tuotteesta on kyse. Ja onko sopimusta sinun ja heidän väillä. Sopimus nopeuttaa/mahdollistaa varsinaista keskustelua.

Tuo kuulostaa todella hyvältä.
Onko kyseessä olleet tietoturvabugit vaiko "normaali" toiminnallisuusbugit? Nuo omat raportoinnit on olleet nimenomaan tietoturvaan liittyviä (samoin kuin omat esimerkit tuttavistani).

Sekä että.

[jussij]

[
Sekä että.

-Ok, eli omalla kohdallasi se on toiminut.
se mikä tuossa hiukan pisti mietityttään on tuo että mainitsit sopimksen laatu, koska sitä ei tietoturvabugeista ilmotettaessa pitäisi tarvita (tosin jotkut firmat vielä muutama vuos sitten vaativat NDA:n jotta niille pysty raportoimaan securitybugista heidän tuotteessaan <grin> ilmasta QA:ta kuiteski...).

[Korkkinen]

[
Sekä että.

-Ok, eli omalla kohdallasi se on toiminut.
se mikä tuossa hiukan pisti mietityttään on tuo että mainitsit sopimksen laatu, koska sitä ei tietoturvabugeista ilmotettaessa pitäisi tarvita (tosin jotkut firmat vielä muutama vuos sitten vaativat NDA:n jotta niille pysty raportoimaan securitybugista heidän tuotteessaan <grin> ilmasta QA:ta kuiteski...).

Kaikki voivat raportoida bugeista yms. toiminnallisuushäiriöistä valmstajalle.

Yleinen ongelma vaikkapa bugiraporteissa on että bugit eivät ole selvästi kuvattu ja/tai mukana on puutteellinen kuvaus koneesta ja sen sisältämistä rauta- ja softaosista.

Mitä tulee soppareihin tarkoitan sillä lähinnä että jos ei ole olemassa olevaa sopparia valmistajan kanssa, ei kannata odotella mitään syvällistä palautetta. Ellei löytämäsi ongelma ole uusi ja/tai iso ongelma

Tietoturvabugit ovat oma lukunsa; niistä tulee tarkempi kysely jos kyseessä on iso tai jos bugi on ennestään tuntematon. Mutta ne kannattaa aina raportoida!!


Jos palautetta ei tule voi syitä olla siis monia; kuvauksen epäselvyys, bugi on tunnettu, et ole kertonut koneestasi mitään, voitko toistaa sen mahdollisesti jollain toisella koneella, käytätkö jotain Finderin modausohjelmia, miten asensit käyttiksen alunperin, millä versiolla asia tapahtuu/ei toimi jne.

Näillä halutaan varmistua että kone jossa bugi esiintyy on ns. normikone ja toimii muuten oikein.


Ohessa sellainen peruslista mitä kannattaa mainita kun haluaa kertoa valmistajalle jostain heidän tuotteensa viasta:

OTSIKKO LYHYESTIi: Bugin kuvaus mahd.lyhyesti

VAPAA TEKSTIi: kerro mihin törmäsit ja mitä tapahtui

SAMA TIIVISTETTYNÄ:

KÄYTTIS- JA OHJELMA -VERSIO

PITI TAPAHTUA: nnnn
MUTTA TAPAHTUIKIN NÄIN: mmmm

Voitko toistaa tilanteen aina? Kyllä/Ei. Miksi ei?
Voitko toistaa tilanteen toisella koneella? Kyllä/Ei. Miksi ei?
(Jos vastaat aina kohtaan "Ei" kannattaa miettiä raportoinnin järkevyyttä).

Toiminnallinen ympäristö: ADSL-verkossa, firman verkossa, ei missään verkossa, mitä palveluita käytät (tiedostonjakoja, bonjouria jne)
Koneessani on seuraava kokoonpano:
esim. iMac 1.8, 2Gb, 160Gb, Airport Extreme jne

Ohjelmistoversiot käyttis ja testattu ohjelma.

JA KAIKKI ENGLANNIKSI!


Oli niin tai näin; kuvaa asia kokonaan, selkeästi ja kerro toimintaympäristö myös. Suomea he eivät ymmärrä.

Säännöt pätevät kaikille ohjelmistovalmistajille.

NDA ei ole siis välttämätön. ;-P

[jussij]

[

NDA ei ole siis välttämätön. ;-P

-Hyvä lista, ja noin se pitäisi mennä raportoijan puolelta. Kannatan.

Ikävä kyllä jotkut vendorit ovat vaatineet aikaisemmin NDA:n että voi jutella turvabugeista, tai että vaativat että olisi olemassa oleva tukisopimus.
Näin ei-vendori näkökulmasta se tuntuu hiukan oudolta, mutta näin vain on ollut joidenkin kohdalla.