Pohdiskelimme lokakuussa maksuttomien exploit-sivustojen tulevaisuudennäkymiä.
Kirjoituksessa käsitellyistä sivustoista Milw0rm.com ei ole edelleenkään päivittynyt syyskuun puolenvälin jälkeen. Sivuston exploit-kohtainen kävijälaskuri on samalla usean koodin kohdalla noussut jopa yli 60 000 latauskertaan.
Toinen listaamistamme sivustoista - 0xbugs.com-sivusto - ei puolestaan ole päivittynyt lokakuun puolenvälin jälkeen. Koodien katselukerrat ovat hyvin vaatimattomia eli muutamissa kymmenissä.
PacketStorm ja SecuriTeam päivittyvät säännöllisesti, mutta SecuriTeamin päivityksissä oli elo-marraskuun kestänyt tauko.
Yksi vähemmän tunnettu sivusto on Exploit Database osoitteessa www.exploit-db.com. Viime kuun puolivälissä avattua sivustoa ylläpitää Offensive Security Team, jonka jäsenet esiintyvät oikeilla nimillään. Sivustolle pääsee myös helposti muistettavan explo.it-osoitteen avulla.
Tietokantaan kerätään hyökkäyskoodeja postituslistoilta ja esimerkiksi Milw0rm-sivuston exploitit on otettu mukaan. Kaikkiin exploitteihin pyritään lisäämään viitteet CVE- ja OSVDB -tietokantoihin. Lisäksi
tarjotaan tieto, onko koodia testattu omassa testiympäristössä. Massapäivitysten ansiosta sivuston koodilistausten kokonaismäärä onkin yli 10 000.
Milw0rm-tietokannasta siirretyissä koodeissa myös Milw0rm-tunnus on osoitteissa säilytetty, joten NaviCOPA-koodin osoitteen milw0rm.com/exploits/9694 vastine on Exploit Databasessa osoite exploit-db.com/exploits/9694.
Haavoittuvuustoimijoista muun muassa Secunia on julkaissut hiljattain varoituksia Exploit Database lähteenään.
Näyttää siis siltä, että Milw0rm on saanut varteenotettavan, säännöllisesti päivittyvän seuraajan.
Jo vuosikausia haavoittuvuuksien hyökkäyskoodeja eli exploitteja on tietoturvayhteisössä kerätty postituslistoilta ja haavoittuvuuksien löytäjien verkkosivuilta erityisille arkistosivuille.
Exploitti on haavoittuvuuden hyödyntämiseksi laadittu eräänlainen työkalu, joka voidaan julkaista esim. lähdekoodina. Välillä julkaistaan vain kuvaus hyödyntämismenetelmästä, mutta ei varsinaista hyökkäyskoodia. Koodin olemassaolo ja sen julkisuus vaikuttavat puolestaan siihen millaisen vakavuusluokituksen haavoittuvuustoimijat turva-aukoille antavat.
Keväällä 2006 ranskalainen VUPEN Security (silloinen FrSIRT) lopetti koodien julkaisun sivustonsa maksuttomassa osiossa paikallisen lainsäädännön kriminalisoitua julkaisemisen. Vapaaehtoisvoimin toimivia hyökkäyskoodiarkistoja toimii kuitenkin edelleen useissa maissa sijaitsevilla palvelimilla.
Viime aikoina tietoturvayhteisössä on keskusteltu Milw0rm-sivuston jatkosta. Sivusto lakkasi päivittymästä reilu kuukausi sitten 21. syyskuuta.
Nimimerkin str0ke johdolla vuosikausia vapaaehtoistyönä ylläpidetty sivusto oli jo heinäkuussa sulkeutumassa resurssipulan vuoksi. Alasajon uhka herätti kuitenkin tietoturvayhteisön ja runsaan palutteen sekä avustustarjousten perusteella ylläpitämistä päätettiin kuitenkin jatkaa. Teksasilaispostilokero-osoitteeseen rekisteröity sivustoa vastaan on tehty viime kuukausina myös hajautettuja palvelunestohyökkäyksiä.
Milw0rm-referenssejä löytyy esimerkiksi MPEG-enkooderisovelluksen haavoittuvuuden CVE-tietueesta ja Joomla-komponentin CVE:stä CVE-2009-3661.
CVE-hanke (Common Vulnerabilities and Exposures) on myös päättänyt käyttää referenssejä säännöllisesti luotuaan niille MILW0RM:n-luokan yleispätevän MISC-luokan lisäksi. Myös haavoittuvuustoimija Secunia viittaa Milw0rm-julkistuksiin.
Muita vastaavia maksuttomia sivustoja ovat esimerkiksi PacketStorm Securityn ja SecuriTeamin Exploits-osiot sekä vähemmän tunnettu 0xbugs-sivusto.
Onkin mielenkiintoista nähdä pystyykö Milw0rm jatkamaan toimintaansa ja vahveneeko vai heikkeneekö ilmaisten exploit-sivustojen kenttä.
Kommentoi
blogi