Será correcto e positivo partilhar “código de ataque” a vulnerabilidades?

  • Article

Tenho acompanhado as evoluções sobre a mais recente vulnerabilidade nos servidores DNSs que pode afectar a "normal" navegação na  Internet, mais concretamente os servidores dos ISPs. Se  a correcção desta vulnerabilidade não for aplicada, o que pode acontecer é que eu estou supostamente a aceder a um endereço que na realidade está apontar para outro site falso.

A correcção desta vulnerabilidade é uma boa história de colaboração entre diferentes fornecedores  (Microsoft, Cisco, Red Hat, Sun Microsystems e Internet Software Consortium) que representam os Servidores de DNS mais utilizados na Internet, juntaram-se para resolver esta questão! Até aqui tudo bem.

Ontem fui surpreendido com esta noticia https://www.techworld.com/security/news/index.cfm?newsID=102222 que indica que uma organização/projecto que se destina a fazer testes de intrusão e pesquisa sobre "exploits" (não sei dizer isto em Português) acabou de partilhar o código que permite atacar os servidores DNS, principalmente os que ainda não estejam protegidos.

Esta organização/projecto publicou no seu blog (https://www.metasploit.com/blog/) uma justificação para este facto.

A minha opinião é que não me parece correcto este tipo de procedimento. Partilhar uma "ferramenta " destas é muito perigoso porque pode cair (vai cair) em mãos erradas e as consequências podem ser pouco agradáveis. Eu acho que as organizações e principalmente os ISPs sabem onde procurar ajuda e não me parece que a partilha deste código prejudica mais do que ajuda.  Estarei enganado?

Comments

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    Caro Abel Santos, Obrigado pela sua participação. Para sua afirmação, já passei as suas sugestões sobre o Virtual Earth ao meu colega. Se tiver novidades eu digo. E como está a integração do seu GPS com o Virtual Earth? Ajudou o meu último comentário? Espero que sim! Em relação ao comenário relativo ao tema da Segurança, podia elaborar um pouco mais o que quer dizer com "Claro que há pessoas/entidades que preferem a linha "Security by obscurity"". O Abel defende isso ou não concorda?

  • Anonymous
    January 01, 2003
    É engraçado, que a semana passada s estávamos a discutir, se publicar código de ataque a uma vulnerabilidade

  • Anonymous
    July 27, 2008
    As "Full Disclosures" já foram debatidas até à exaustão: http://mindboosternoori.blogspot.com/2007/01/full-disclosure_24.html Quanto a este problema em particular, há duas coisas a considerar: 1 - Os dados já eram públicos. Eu próprio escrevi um teste para encontrar este bug - modularizá-lo de forma a se tornar uma ferramenta como aquela que eles publicaram depois era uma questão de minutos. Assim - foi publicamente aceite que já havia uma forma de explorar esta falha por aí - e isso apressou a sua correcção mais do que nunca: basta ver o fluxo de notícias sobre este assunto na comunicação social e pela web, durante todo o processo de anúncio deste problema. 2 - Mais importante que isso, os sistemas que eram vulneráveis na altura, e que foram corrigidos para este ataque, continuam vulneráveis - o ataque é simplesmente muito mais difícil e moroso.

  • Anonymous
    July 31, 2008
    Marcos: foi exactamente pela existência de esses casos que publicar a ferramenta foi importante. Só assim as varias entidades se poem alerta quanto a este problema, só com o choque de se poderem tramar é que (grande parte) vão agir. Não estamos a falar de pequenos servidores de DNS, estamos a falar do DNS de, por exemplo, a AT&T. Vale mais agitar e mesmo expor vulnerabilidades dos vários ISPs pelo mundo? Ou deixar as coisas pela calada e correr o risco de - como utilizadores da internet -  ligar-nos à rede algures e poder-mos estar a ser atacados graças a esta falha?

  • Anonymous
    July 31, 2008
    Claro que há pessoas/entidades que preferem a linha "Security by obscurity" Abel

  • Anonymous
    July 31, 2008
    Marco Santos, Não não concordo, eu defendo que conhecimento (de toda a gente) é segurança! Quanto ao GPS não testei, de qualquer forma, obrigado pela informação Abel