6 Ekim 2009 Salı

Hepinizi Koruycam! Ama Kendimi Nasıl Koruycam?

Bir yazılım düşünün! Hedef kitlesi antivirüsler'in dahi baş edemediği zararlıları yakalamak ve engellemek. İşinde de, gayet iyi gidiyor ki zaman geçtikçe müşteri yelpazesi genişliyor. Update update üstüne sürekli yeni güncellemeler ve ek özelliklerle kullanıcılarını hoşnut etmesinide biliyor. Bir gün biri çıkıp sistemleri dolayısı ile de kullanıcıları koruması gereken bu sistemin, kendini koruyamadığını ve uzman c coder'larının daha bir window'u handle edememelerinden dolayı, korumakla yükümlü oldukları tüm sistemin korumasız kaldığını buluyor. Hikayede burada başlıyor!

Öncelikle şunu belirteyim tartışmalar http://blog.zemana.com/2009/09/guncelleme-zaman.html adresinde yayınlanan bir bildirim yüzünden başladı. Kendi yazılımlarında ki açıkları affetmeyen!!! ve anında yamayan!!! Zemana ekibi ve çok değerli arkadaşları büyük bir operasyonla!! ilgili açığı kapatıp yeni bir versiyon yayınlıyorlar. Yukarıdaki hikayede yer alan arkadaşta kendi kendine "Halbuki bende tam 4 ay önce kritik bir açık bildirdim ve de bypass filan da değil doğrudan sistemi koruması gereken uygulamanın kendisini etkisiz kılıyorum, lakin neden bundan hiç bahsedilmiyor?" diye düşünüp haklı olarak aynı konu başlığı altına gidip sitemlerini bildiriyor. Kıyamette ondan sonra kopuyor. Buyurun gidin konuyu ve tartışmaları okuyun. Bana açığı önce onlara bildirmediğimden dem vuruyorlar. Yazık! diyorum ve işinin uzmanı!!! arkadaşa kendi blogunda ki şu linke bakıp utanmasını istiyorum: Açığın yayınlanma çabaları . Sizin Error Report mekanizmanız çalışmıyorsa veya bildirimlere bakmıyorsanız suç benim mi oluyor?

Üstelik sanki onlar adına çalışan Analyst'mişim gibi, bana: "niye ifşa ediyorsun" diye kızıyorlar. Lütfen beyler biraz işinizin ehli ciddi insanlar olun. Birde kalkmış güvenlik uygulaması yazıyoruz diyorsunuz! Şu güvenlik piyasasın da 1 veya 10 sene olsun, çalışan insanlar gayet iyi bilir ve görürler ki açıklar 2 yönlü şekilde yayınlanır ve üreticinin derhal çözüm bulması tetiklenmiş olur. Tabi sizden bahsetmiyorum sayın Zemana üyeleri. Bu tartışmalar yaşanmamış olsaydı kim bilir daha ne kadar duracaktı o zaafiyet yerinde! Bir de Zemana güvenlikçisi Erkan bey'in "global takibimizde AntiLogger'a herhangi bir virus veya spyware tarafindan bu tarzda bir saldiri yoktur olay sadece PoC'tur." demesine halen gülüyorum. Mantığa bakarmısınız lütfen :) Demek ki aslında açık bildirilmeden önce bir malware yazmamız gerekiyormuş. Kim bilir belkide o zaman bu yazılımı kullanıp kendini güvende hisseden binlerce bedbaht insanın her türlü loglanabilecek bilgisine sahip olup saygıdeğer yazılım firmamızın cümle aleme rezil olmasını seyretmek daha etik olurdu. Yazık diyorum başkada söz bulamıyorum.

Ciddi ciddi düşünüyorum sektör neden böyle yozlaşmış diye? Ntvmsnbc'nin gerek görsel gerek yazılı ve sanal basında cafcaflıya cafcaflıya duyurduğu Sipru adlı multimedia uygulamasında tüm sistemi köle yapan açık bulduk bildirdik üstüne hakaret yedik! Microsoftun tüm işletim sistemleri dahil Command Prompt (cmd.exe) unda policy açığı bulduk raporladık aradan 4 sene geçti açığı kapatan olmadı!Yine Microsoftun Domain Password Distrubited mekanizmasında açık bulduk yayınladık yine aynı. Bu saygıdeğer Zemanacı'lara 4 ay önce açık bildiriyoruz, bizimki sanki kritik bir açık değilmiş gibi arkadaşımızın "reg add" ile eklediği startup bypass'ını ballandıra ballandıra kapatıp ilan ediyorlar bizim açık hala yerinde. Sitemim işte bu yaklaşıma dır. Bir de son anda tartışmaya katılan ve yazdığım PoC koduna bakıp C bilgimi ortaya çıkaran Hayri bey'ide ayrıca Oscar'a aday göstermek istiyorum! 4 ay öncesinden itibaren sürekli üstüne basa basa söylediğim gibi ardı üstü bir window'a Wm_Close message'i gönderiyoruz sayın Hayri, ne bekliyodunuz yani yalandan yere kodun opcode çıktısını alıp onu shellcode haline getirip öylemi yapsaydım? Emin olun hava atmak isteseydim öyle yapardım ve koda bakanlarda vay anasını derdi. Açın bakın milw0rm ü securityfocus'u o gördüğünüz exploit kodlarının en az yarısı bu tip kodlardan oluşuyor. Neyse Hayri Bey'imizi o engin C bilgisine sahip coder'ları ile başbaşa bırakalım.

Bu tartışmadan hemen sonra 2 DoS birde Bypass açığı buldum ama yeni versiyonlarını bekliyorum çünkü şu an hali hazırda bulmuş olduğum tüm açıklara aynı sebepten .ok atacaklarını iyi biliyorum ve o zaman ne kadar sağlam!!! ve kendi güvenliklerine önem veren bir firma olduklarını hepinizin göreceğini garanti ediyorum. Beni ve onları takip etmeye lütfen devam edin.
Şimdilik kalın sağlıcakla.

12 yorum:

  1. Selam, zemana bu güne kadar gördüğüm en garip firma yazılımlarında açık bulup forumumda bunu gösterdim daha sonra bunu bir exploite çevirdim ve kendilerine açığın ne olduğunu,exploiti ve fixlenmesi gereken bölümü yolladım beni bloglarında alaycı bir şekilde eleştirdiler ancak bir sonraki sürümdede bu açığı kapattılar bir başka açık bulduğumdada bana testerlık teklif ettiler çok garip bir firma.

    YanıtlaSil
  2. Bende bu olayları hayretle izliyorum. Sana verdikleri bedava zemana lisansı sözünü bile tutmadılar sanırım ?

    ( Ama başkalarına gelince bol keseden...)

    Adsız ın dediği gibi hakketen enteresan bir firma.

    YanıtlaSil
  3. Benim lisansta filan gözümün olmadığını hatta şirket ortamında ki zorunlu şartlar dışında ne av ne de hips kullanmadığımı aksine virüs'lerin bulaşmasından ve onları incelenmesinden ne kadar haz aldığımı beni tanıyanlar bilirler. Ben Zemanacılara göre alemin en kral lamer'iyim varsın lütfen hep öyle kalsın. Bundan sonra cevaplarımı ve programları ile alakalı sorunları onlarla değil siz değerli dostlarımla paylaşacağım.

    YanıtlaSil
  4. Tamam işte yazından da anlaşıldığı gibi http://blog.zemana.com/2009/07/authenticode-challenge-v2.html verdikleri sözü tutmadılar!

    Burdan da anlayacağımız sözünün eri kimseler olmadığı. (Benim vugulamak iste4diğim kısım bu. Sözünün eri değiller!)

    YanıtlaSil
  5. Merhaba,

    Benim Zemana Ltd. ile ticari bir bağım yok. Bunu neden söylüyorum; tartışılan bu olaya objektif yaklaştığımı belirtmek için.

    Bildirdiğiniz açık için çalışılıyordu ve sizdende bunu publick etmemeniz rica edilmiş.
    Diğer reg.exe açığıda çok önceden rapor edilmişti ve rapor eden arkadaşa publick etmemesi rica edilmişti. O arkadaş sözünü tutup publick etmemesine rağmen başka bir şahıs tarafından bu açığın ifşa edildiğini Zemana ekibine bildirdim ve bunun üzerine v2.0 da eklenecen bu güncelleme için hemen bir güncelleme gereği duyuldu.
    Eğer sizde sözünüzü tutsaydınız bu tartışmalar hiç yaşanmazdı.
    Ayrıca "Authenticode Challange" ile ilgili ilk yarışma da ikimizde kazandık ama o yarışmadan banada key gelmedi. Çünkü siz yine kural ihlali yapıp çözümü mail ile göndermek yerine rapi linkini direk bloğa yazdınız. Ve ikimizde diskalifiye olmuş olduk. Yani o yarışma geçersiz oldu.

    Benim Kazandığım keyler bir sonraki yarışmadan geliyor.
    Şu anda yeni yarışmayı bekliyorum.

    YanıtlaSil
  6. @osC++CoDeR Blokda diskalifiye ile ilgili bir yazı göremedim ?

    YanıtlaSil
  7. Sanırım halen derdimi anlatabilmiş değilim. Halbuki açık anlaşılır biri olduğumu söylerler.

    Bunu gerek onlara ait blog konusunda olsun gerek ise buradan olsun sürekli belirtiyorum: Ben resmi çalışan veya kurallara bağlı olan bir güvenlik uzmanı değilim. Zemana'nın adınıda programınıda tanıdığım gün (yanılmıyorsam 30 mayıs)her zaman yaptığım şeyi yapıp ürünlerini download edip üzerinde güvenlik testleri yaptım. Çünkü bu benim hobilerimden biri. Açığı bulduğum an programlarında embed olan error report mekanızması vasıtası ile çıkan tüm logları taraflarına gönderdim hemde değişik gün ve periyotlarla 3 kez. 1 Haziran günü aklıma "dur bakayım bir müdahalede bulunmuşlarmı, zaten dandik bir message handling açığı hemen yamamışlardır" diye düşünerek maillerimi ve sitelerini kontrol ettim. Baktım ses seda yok düşündüm "demek ki o kadarda ehemmiyet verilecek bir açık olarak görmüyorlar neyse boşver deyip her zamanki gibi buqtrack'e göndereyim" dedim ve yaptım. Aradan 1 saat geçmedi ki bir blog'a sahip olduklarını gördüm ve sevinerek hemen oraya sizinde ilgili konuda görebileceğiniz bildirimi yaptım. Onlarda yoğunluğu bahane ederek (mübarek sanki microsoft kadar açık alıyor da db'den benim 3 kez gönderdiğim açığı ayıklıyamıyorlar) kişisel maillerine hata ile ilgili bildirimi yapmamı rica ettiler ve bende öyle yaptım. Sonrasında pekte üzerinde durmadım çünkü benim sıradan yaptığım bir şeydi bu işlemler. Ta ki 2 gün öncesinde tartışmalara sebep olan açık çıkıncaya dek.

    Yani konu özetle şudur ki:
    1 - Bildirim tam zamanında yapılmış, ve açık ilgi görmediği için public edilmiştir.

    2 - Zamanlama hatası yaptığım iddaa ediliyor, ancak kimse kusura bakmasın ben bu işi hobi olarak yapan biriyim ve yine tekrar ediyorum, yeni versiyonlarında da aynı süreci devam ettireceğim.

    3 - Bana acemi dediler, programcılığıma hakaret ettiler, ben onlara hakaret ederek değil bilgimle cevap vereceğim. Dediğim gibi çıkarsınlar en stabil gördükleri versiyonlarını o zaman görüşelim kendileri ile.

    YanıtlaSil
  8. Ayrıca Zemana'nın yaptığı Authenticode ile ilgili yarışmasında kazananlara 1 adet key verileceği bildirilmiş ve de hiç umrumda olmamıştır ki ispatı oalrakta dediğiniz gibi kuralları bile umursamayıp doğrudan rapidden çözümü sundum. Yarışmayı ilgili dökümanı okuyup çözmüş ve benim için işin eğlencesi orada bitmiştir. Ki 2.yi sırf bruteforce la kasmaktan üşendiğim için ne yorum yapmış ne de devam etmiştim.
    Diskalifiye olayına ilk burada sizin sayenizde şahit oluyorum. Bana böyle bir bildirim yapılmamıştır ve bloglarında da böyle bir ibareye rastlamadım. Volkan arkadaşımla msn'den bunun muhabbetini yaptık ve bana key geldimi diye sorduğunda "hayır" cevabını verdiğim. Sanırım bu yüzden bu konuya değindi. Ki tekrar ediyorum Zemana Antilogger benim için bir güvenlik aracı değil sadece incelenecek bir metaryaldir.

    Saygılarımla.

    YanıtlaSil
  9. Ilk yarışmanın iptal (diskalifiye) olduğunu tahmini konuştum. Ilk yarışmadan key gelmediğini yazmışsınız, banada gelmediğine göre tahmini olarak diskalifiye sonucunu çıkardım. Yoksa banada bir bildirim gelmedi.

    Açık konusunda ad tartışma çıkacak bir durum göremedim açıkçası ve Zemana ekibiyle aranızda geçen konuşmaları bilmediğimdçen yine tahmini konuştum.
    Sadece Zemana blogta sizin zemanaya saldırı nitelikli postlarınız olduğunu ve yayınlanmadığını biliyorum.
    Tartışmada bu noktadan sonra başladı sanırım.

    Tahminimce "reg.exe gibi basit açığa bile yer verip güncelleme yaptınız ama benim bulduğum açığı tınlamadınız" gibi düşünüp tepki gösterdiniz sanırım.

    Antiloggerda embed olrarak gelen bug reporttan bende baya rapor gönerdim ama orda gerçektende yoğun bir trafik var sanırım çünkü daha sonraki görüşmelerimizde raporlarımdan habersiz olduklarını anlayınca farkettim ki bug reportaki her bildirime kısa zamanda yetişemiyorlar.

    YanıtlaSil
  10. Tepki gösterdiğim yer tam tarif ettiğiniz şekilde. Yine dediğim gibi onların yoğunluğu beni değil onları ilgilendirir ve zamanında bildirim yaptığımı bilmelerine rağmen beni hem suçlu hem güçlü pozisyonuna sokuyorlar. Birde ellerine fırsat geçmiş gibi ekip halinde "vurun abalıya" moduna girip hakaret etmedikleri yerimi bırakmıyorlar. Sinirlendiğim nokta burası. Ben kötü niyetli biri değilim ama sayelerinde şimdi tanımayanların gözünde öyle olduk.

    Birde merak ettiğim nokta şu var siz: "Eğer sizde sözünüzü tutsaydınız bu tartışmalar hiç yaşanmazdı." dediniz ve tüm geçmiş yazışmalarıma bakıyorum hani unutmuşumdur diye ama ben kime ne söz vermişim. Ben asla onlara böyle bir söz vermedim aksine onlar bana açık bulursanız yayınlamayın önce bize bildirin dediler ki ondan sonra zaten herhangi bir bu tip vukuatımız olmadı.

    Neyse sizi ve çalışmalarınızı takdirle izliyorum ve güvenlik camiasına kattığınız sinerjinin devamını diliyorum.

    Saygılarımla.

    YanıtlaSil
  11. Dediğim gibi ben olaya tarafsız bakıyorum ve kimse gözümde küçülmedi yada büyümedi, kimseyi kötü yada yanlışta tanımadım.

    Takılığınız noktayı yanlış yorumluyormuşsunuz gibi geldi bana.

    Bildirdiğiniz açık daha fazla uğraş isteyen bir açık olması nedeniyle daha geç güncellenmesi normal değil mi? Sizn bildirdiğiniz açıkla ilgili patch süreci alphadan betaya geçtiğinde sizinle iletişime geçerlerdi büyük ihtimalle ve yeniden test etmenizi, sonuçları ve görüşlerinizi isterlerdi.

    Ben şahsen bu süreci sabırla bekleyip destek olmaya devam ederdim. Ama tabiki istediğinizi yapmakta özgürsünüz. Yanlız daha sonra "benim açığım neden bahsedilmiyor" gibi tepkilerden başladı sanırım tartışma.
    Buda bir tecrübedir sonuçta mutlaka size bişeyler kazandırmıştır.

    Testlerinizde ve çalışmalarınızda başarılar dilerim.
    Bol şans...

    YanıtlaSil
  12. Selamlar.Tamamen haklı olduğun yerde seni sıkıştırmak için baya bir çaba sarfediyorlar..
    ayrıca yama açıklamasıda gayet güldürdü beni..

    YanıtlaSil