Turvapäivitysten sesonki – mustahattuhakkerien pelotevaikutus elää ja voi hyvin
On hyvä muistaa, että Mozilla Firefox ei Google Chromen tavoin turvapäivitä itse itseään automaattisesti, kun selain ajetaan alas tai se kaatuu. Päinvastoin, Firefox altistuu haavoittuvuudelle (esim. CVE-2019-11707) kaatuessaan.
Project Zero
Firefox ratsastaa vanhalla avoimen lähdekoodin viitekehysmaineellaan, mutta tosiasiassa sen kanssa ilmenee ongelmia tämän tästä. Valitettavasti Tulikettu ei ole tätä päivää, kuten MS Edge tai Chrome, suurella rahalla tuotetut internetin selaajat. Firefox ylistää sitä, kuinka se on ketterä ja sieppaa muistiakin 30% vähemmän kuin Chrome. Mutta mitä se ei sivuillaan kerro on, että Google-kehittäjät hyvää hyvyyttään pitävät sitä pinnalla.
Googlen Project Zerossa työskentelevä Samuel Groß on päättänyt salata paljastamansa Firefox-haavoittuvuuden CVE-2019-11707 yksityiskohdat – ehkä koodi näyttää yleispätevältä, ja se voi olla uhka muillekin selaimille. Firefoxin versio 67.0.3 oli kesäkuussa vielä turvallinen. Yritysympäristössä vastaavasti ESR (extended support release), version turvataso voidaan tarkistaa versionumerosta. Tätä kirjoittaessa se oli 60.7.1.
Polku Firefoxin versionumeron löytämiseksi on seuraava: klikkaa valikkopainiketta Menu -> klikkaa Ohje-valikkoa ->valitse Tietoja Firefoxista. Kun Tietoja Mozilla Firefoxista -ikkuna avautuu, versionumero löytyy Firefox-tekstin alapuolelta. Numerosarja ei saisi juuri hapantua.
Apple käyttää CVE-ID-tunnuksia viittaamaan lisäinfoon WebKit-haavoittuvuuksista, ja kiittää sekin Samuel Großia, CVE-2019-8611-haavoittuvuuden jäljittämisestä. Ennen Project Zeroa, Samuel Groß on toiminut itsenäisenä turvallisuustutkijana. Hän on tutkinut selainten tietoturvaa jo useamman vuoden ajan, ja julkaissut aiheesta useita artikkeleita. Ydinasia kertoo Phrack paper JavaScript-moottorin hyväksikäyttötekniikoista. Kohteita ovat esimerkiksi JavaScriptCore, JavaScript-moottori sekä WebKit-moduuli Safar-selaimen sisällä. Viimeksi mainittu haavoittuvuus avasi Safarin kautta kernelin koodin suorittamisen MacOS-järjestelmässä. Aika paha. Ymmärrettävästi tällainen osaaminen tulee palkita, tämä entinen teekkari on nyt ylityöllistetty jakaessaan tietotaitoaan muille asiantuntijoille.
Mitä on eettinen hakkerointi?
Black hat –hakkerit eivät tee työtään kiitoksen, maineen tai runsaskätisten palkkioiden toivossa; he tekevät (usein) sen mikä on oikein. White Hat ja Black Hat on mennyt iloisesti sekaisin samoin kuin aiemmat käsitteet krakkeri ja hakkeri. Ei nimellä väliä. Eettinen hakkerointi tosin on aika hyvä termi. Sen tulkitaan merkitsevän laajempaa kehystä, kuin vain pelkästään tunkeutumistestaus. Myös sana ”sneakers” viittaa hyviksiin.
Selainkehittäjät yleensä tekevät pitkää päivää ennen Black Hat –tapahtumia. Sillä tapahtumassa, kun hakkerit vetävät suurelle näytölle ohjelmistoista löytyviä tietoturva-aukkoja: selainten tietoturva perustuu pitkälti tähän pelkoon. Siksi kai mustahattuja näkyy nyt töissä erikoisprojekteissa suurissa ohjelmistotaloissa. Tapahtuman alla Google ja Mozilla ovat perinteisesti tuoneet pikapäivityksiä, jotka paikkaavat selaimiin liittyviä vakavia tietoturva-aukkoja. Kesäkuumilla korjaussarjat tulevat kuin vuorovesi, ne kannattaa hyväksyä.
Black Hat USA 2019 – Cyber Security Conference järjestetään elokuun alussa.
