Internetbrede bug 'te gevaarlijk' om te onthullen
Gepubliceerd: Vrijdag 17 april 2009
Auteur: Brenno de Winter
De BlackHat conferentie in Amsterdam is in rep en roer over een vermeend megalek dat uiteindelijk niet onthuld mocht worden.
De spanning rond de Europese editie van de Amerikaanse beveiligingsconferentie ontstond toen duidelijk werd dat er een grote onthulling zou volgen. Volgens de organisatoren zou de impact van de aankondiging van een vergelijkbaar niveau zijn als het DNS-lek dat Dan Kaminsky op BlackHat in Las Vegas vorig jaar presenteerde.
Annulering onthulling
Jon Miller, Neel Mehta, Alex Wheeler en David Bonvillian hadden maanden geleden al aangekondigd een groot probleem bekend te maken tijdens de presentatie "Cutting Through the Hype: An Analysis of Application Testing Methodologies". Volgens de organisatie was het lek zo groot dat heel veel grote websites er last van zouden hebben.
Uiteindelijk kwam het niet tot onthullen, omdat een verantwoordelijke leverancier nog geen patch kon leveren. De persconferentie werd afgelast en tijdens de presentatie werd vooral gesproken over wat algemeen onderzoek naar penetratietesten. In een reactie stelt BlackHat dat de onderzoekers kozen voor een verantwoorde onthulling, iets wat ze zeggen toe te juichen.
Gat in Apache webserver?
"De fabrikant liet ons eerst geloven dat ze ruimschoots genoeg tijd te hebben om voor deze conferentie een oplossing te hebben", vertelt Jeff Moss, de oprichter van de conferentie tegen Webwereld. "Ik ken de reputatie van de jongens en die bullshitten niet. Wat dat betreft neem ik de omvang van probleem zeer serieus."
"In een ideale wereld zou een spreker op het podium klimmen, zijn verhaal doen en uitleggen hoe ernstig het probleem is. Dan zeggen dat een patch beschikbaar is in 3, 2, 1 seconden", stelt Moss. Hij ontkent dat er sprake is van juridische dreiging, wat bijvoorbeeld in 2005 wel speelde toen Cisco probeerde een basaal lek in de routers onder de pet te houden.
Experts speculeren dat de Apache webserver onderwerp van discussie is. Die conclusie trekken ze op basis van discussies op de mailinglijst en de aankondiging dat de mededeling dat het probleem voor bijna iedere website op internet zou spelen.
OpenOffice.org-problemen
Apache of niet, er zijn meer zeer basale problemen om over na te denken. Zo presenteren later vandaag de onderzoekers Eric Filiol en Jean-Paul Fizaine problemen met OpenOffice.org. Het officepakket blijkt bij de versleuteling van bestanden gevoelig te zijn voor het manipuleren van gegevens.
"In essentie is het probleem dat er gegevens niet versleuteld worden bewaard rond de versleuteling, maar die ondertekend zijn met een hash-functie", zegt Filiol tegenover Webwereld. Dat betekent volgens hem dat er te rommelen valt met een versleuteld document op het moment dat het in verkeerde handen valt.
"Alle documenten worden aangeboden in het Open Document Formaat, maar dat is niet veel meer dan een bestand dat is gezipt", stelt Filiol die wel erkent dat de versleuteling zelf wel afdoende is. "Omdat iedereen iets kan veranderen en opnieuw kan tekenen, is er simpel misbruik van te maken", zegt hij dan ook.
De onderzoeker verwacht niet dat er eenvoudig een oplossing te vinden is voor de problematiek. "Waar je op moet inzetten is reguliere beveiliging van documenten door schijven en mailberichten te vesleutelen", bezweert de expert. "Op zich is dit probleem fundamenteel, waarbij je veel van OpenOffice.org en het gedrag van de gebruiker moet veranderen." Filiol meent dan ook dat het tijd wordt niet een applicatie verantwoordelijk te maken voor de beveiliging, maar juist de gebruikers die de gegevens beheren.
Te groot voor Holland
Verhalen over beveiliging zullen in 2010 niet meer bij BlackHat in Nederland plaats vinden. Het probleem is de fysieke beschikbare ruimte. Omdat de RAI niet voldoet qua inrichting, zijn er geen opties.
"Hoe sterk de beveiligingsgemeenschap in Nederland ook is en hoe graag ik ook zou blijven, toch zullen we moeten verhuizen", stelt Moss dan ook. "In Amsterdam missen we de conferentiemogelijkheden voor grotere omgevingen." Naast Las Vegas zal voor de grotere bijeenkomst volgend jaar niet Amsterdam maar een Spaanse stad met de eer strijken, waarschijnlijk Barcelona. "Het is jammer, maar ik heb geen keus."
