Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kiedy za dużo informacji szkodzi

Josh Phillips
Kaspersky Lab Expert
Dodany 11 marca 2010, 09:38 CET

Świat szybko obiegła wieść o najnowszym exploicie na lukę 0-day w przeglądarce IE. Według Ryana Naraine, badacz z firmy McAfee, próbując wykazać zaletę produktu swojego pracodawcy w odniesieniu do tego nowego exploita, nieświadomie ujawnił zbyt wiele informacji o luce, co spowodowało kilka niezamierzonych konsekwencji.

Niedługo po tym stworzono moduł PoC Metasploit na tę lukę, przez co coś, co wcześniej było exploitem wykorzystywanym w ukierunkowanych atakach, przerodziło się w potencjalny, szeroko rozpowszechniony problem dotykający użytkowników IE 6 i 7.

Jakie informacje zostały opublikowane? Jako że często mówią mi, jakie informacje powinienem, a jakich nie powinienem ujawniać, sprawa ta zaciekawiła mnie. Okazuje się, że ujawniono listę nazw plików związanych z exploitem, szkodnika instalowanego przez exploita oraz nazwę domeny, z którą łączył się szkodliwy program.

Wydaje się, że publikowanie takich informacji na blogu ma sens. Z pewnością, adres URL wykorzystywany przez szkodliwe oprogramowanie mógłby być przydatny dla osoby piszącej sygnatury IDS, a znajomość nazw plików związanych z atakami pomogłaby również innym analitykom antywirusowym.

W takim razie, jakie informacje można bezpiecznie ujawnić? A może nie ujawniać niczego? Jako analityka, frustruje mnie to, że ktoś publikuje wszystkie ważne informacje identyfikujące zagrożenie; analityk z firmy McAfee najwyraźniej próbował zainteresować takich ludzi jak ja.

Moja rada dla analityków piszących o “żywych” zagrożeniach jest prosta. Jeżeli domeny, na których znajdują się niezałatane exploity, są nadal aktywne, nie ujawniajcie adresu URL ani nazw plików związanych z exploitem: Google z przyjemnością zlokalizuje taką stronę.

Czy to oznacza, że analitycy nie powinni ujawniać kluczowych informacji o żywych zagrożeniach? Naturalnie, że nie. Robimy to przez cały czas. Ale nie publicznie – jest wiele bezpiecznych metod przekazywania informacji o żywych zagrożeniach.