Intervju s HD Moorom

• :: 20. mar 2010

english version

Ime HD Moore je najbrž poznano vsakomur, ki mu informacijska varnost ni ravno deveta vas. HD je namreč avtor številnih projektov (http://www.digitaloffense.net) med katerimi je tudi ogrodje Metasploit, ki je nedavno prešlo v last družbe Rapid7. Svoje izkušnje s procesom tranzicije je slikovito opisal na letošnji Black Hat DC konferenci v predstavitvi z naslovom: "Metasploit and Money".

Slo-Tech: Pa začnimo s klasičnim vprašanjem: se lahko predstavite našim bralcem (izobrazba, programerske veščine, strokovne izkušnje, trenutno delo, itd.)? Zanima nas tudi, kdaj in kako ste prišli v stik z računalniško varnostjo.

HD Moore: Ime mi je HD Moore (prvi del imena je le črka H), z računalniško varnostjo pa se na različne načine ukvarjam že od zgodnjih 90. let, ko sem odkril svet BBS-jev. V srednji šoli sem začel delati na enoračunalniški različici projekta SHADOW (hevristični sistem za zaznavanje vdorov oz. hevristični IDS). To je bila tista referenca, zaradi katere sem dobil svojo prvo pravo službo kot programer in sem preko neke pogodbene agencije delal za ameriško obrambno ministrstvo.

Slabih deset mesecev kasneje se je nekaj sodelavcev odločilo iti na svoje, da bi se ukvarjali s komercialnimi projekti, pa sem postal soustanovitelj svojega prvega podjetja. Tam sem delal pet let in pol, nato pa sem se leta 2005 pridružil prvotni ekipi družbe BreakingPoint. Leta 2009 je Rapid7 prevzel Metasploit, zato sem se jim pridružil kot vodja oddelka za varnost, hkrati pa sem še vedno tudi vodja razvoja programskega ogrodja Metasploit.

Slo-Tech: Lahko opišete tipičen delovni dan človeka, ki se profesionalno ukvarja z varnostnimi luknjami?

HD Moore: Dneve večinoma začenjam s pridobivanjem novih informacij: branjem dopisnih seznamov, preverjanjem repozitorijev exploitov, branjem in odpisovanjem e-pošte, spremljanjem tvitov, blogov in podobnega, da sem na tekočem z aktualnimi dogodki. Ta stalen dotok informacij je nujen, da lahko sledim novim izzivom s področja računalniške varnosti in se nanje odzovem, še preden je prepozno.

Slo-Tech: Kaj pa menite o polnem razkritju oz. odgovornem razkritju? Je res učinkovito? Gibanje Antisec in nekateri ugledni strokovnjaki za varnost menijo, da ni. Kaj menite o vladah, ki so polno razkritje podatkov kriminalizirale, npr. Francija?

HD Moore: Osebno sem bil vedno velik privrženec polnega razkritja, saj sem preko lastnih izkušenj spoznal, da se problem reši najhitreje, če se objavi exploit zanj. Države, ki z zakonom omejujejo razkrivanje takih informacij, si delajo škodo na dveh frontah. Prva posledica teh restrikcij je manjše število javno objavljenih exploitov, kar vodi do manjšega števila popravkov, to pa privede do manj varne programske opreme. Druga posledica takih zakonov pa je, da si ljudje, ki se ukvarjajo z varnostjo, poiščejo delo drugje, da zaradi svoje službe ne bi prišli navzkriž z zakonom.

Slo-Tech: Ko smo že ravno pri Antisecu - mislite, da se borijo za pravo stvar? Bi bil lahko internet brez polnega razkrivanja res varnejši? Ob tem se seveda poraja vprašanje, kdo bo potem pazil paznike?

HD Moore: Vsakih nekaj let se najde nova skupina ljudi, ki poskuša prodreti s to idejo. Zadnji Antisec ni predstavil nič bolj prepričljivih argumentov kot pa skupine izpred 15 let. V bistvu pa vse to sploh ni pomembno, saj procesa razkrivanja ne nadzorujejo izdelovalci programske opreme ali interesne skupine na nasprotnem bregu, temveč le in edino strokovnjaki za računalniško varnost. Dokler bodo softverske firme ignorirale varnostne luknje vse do javnega razkritja exploitov in dokler bo obstajala motivacija za objavljanje informacij o teh exploitih, se status quo ne bo spremenil. Edini zunanji dejavnik, ki na to lahko vpliva, je kriminalizacija raziskovanja varnostnih vprašanj, kar pa ima spet daljnosežne negativne posledice za splošno informacijsko varnost.

Slo-Tech: Strokovnjak za varnost vašega kova verjetno neprestano dobiva ponudbe velikih in pomembnih IT podjetij. Lahko opišete vaše izkušnje z njimi, ko ste objavljali exploite za njihove izdelke? Vam je katera od korporacij kdaj grozila ali vas celo tožila?

HD Moore: Nekaj pravnih groženj sem res že dobil. Razvijalci običajno želijo le izboljšati svoje izdelke, dočim znajo biti marketingarji in managerji popolnoma alergični na take stvari in skušajo vsako razkritje pokopati pod pravnimi stroški. V glavnem gre le za prazne grožnje, saj je po javni objavi exploita ceneje odpraviti težavo kot pa tožiti raziskovalca, ki jo je odkril.

Slo-Tech: Kaj pa ponudbe za delo? Vam je katera od teh korporacij ali vladnih agencij kdaj ponudila službo? V bistvu preseneča, da niste kot svetovalec za varnost oz. razvijalec zaposleni v kakem ogromnem IT podjetju.

HD Moore: Raje kot to opravljam nekaj inovativnega za kako manjšo, manj okorno firmo. Delo v večjih podjetjih ima seveda svoje prednosti, žal pa avtonomija in možnost hitre spremembe smeri raziskovanja običajno ni del teh prednosti.

Slo-Tech: Metasploit je odkupila firma Rapid7. Veliko uporabnikov se boji, da se bo Metasploit zato skomercializiral oz. da bo to njegov konec. Kako bi pomirili uporabnike, da se to ne bo zgodilo? Kaj lahko pričakujemo od Metasploita v prihodnosti?

HD Moore: Programsko ogrodje Metasploit bo vedno ostalo odprtokodno. To zagotavlja naša licenca. Sicer pripravljamo tudi komercialne storitve in razmišljamo o komercialnih paketih, vendar bodo to le dodatki obstoječemu brezplačnemu Metasploitu, ki ga ponujamo že danes.

Slo-Tech: Koliko ljudi pa dela na projektu Metasploit? Nedolgo tega ste iskali razvijalca za Ruby; lahko iz tega sklepamo, da načrtujete širitev razvijalske ekipe?

HD Moore: Ekipo Rapid7 sestavlja šest ljudi, ki na tak ali drugačen način aktivno sodelujejo pri razvoju Metasploita. Poleg interne ekipe je zelo dejavna tudi skupnost, preko katere dobimo ogromno obvestil o exploitih in popravkih zanje.

Slo-Tech: Kaj pa si mislite o gibanju proti brezplačnim exploitom? Očitno obstaja trg ljudi, ki so pripravljeni za exploite tudi plačati - pa mislite, da lahko to postane stalna praksa? Ste že kdaj komu prodali informacije o exploitu, ki ste ga odkrili sami?

HD Moore: V osnovi se strinjam s stališčem, da naj se raziskovalci svobodno odločajo o tem, kaj bodo storili z exploiti, ki jih odkrijejo. Če se jim zdi smiselno prodajati exploite podjetjem, ki imajo varnostne luknje v svoji programski opremi, naj jih pa prodajajo.

Osebno v tem ne vidim smisla, ne nasprotujem pa tistim, ki to počnejo.

Slo-Tech: Ali prekoračitve medpomnilnika (preko prekoračitve sklada ali kopice) še vedno sodijo med večje varnostne grožnje, čeprav je bilo razvitih že mnogo zaščitnih mehanizmov? Kateri novi načini izkoriščanja varnostnih lukenj se znajo pojaviti v prihodnosti?

HD Moore: Na modernih sistemih je vedno težje najti, še težje pa izkoristiti tipične exploite, ki temeljijo na korupciji pomnilnika. Vseeno pa ti exploiti ne prizadenejo le namiznih računalnikov; vsak izdelek z mikrokontrolerjem ali šibkim procesorjem lahko potencialno poganja poljubno kodo, če jo le uspemo vnesti vanj. Predvidevam, da bodo taki exploiti v prihodnosti v svetu osebnih računalnikov izgubili na pomenu, bolj pa se bodo razširili v namenskih sistemih in napravah.

Tehnike izkoriščanja povratka iz funkcij in prevajanje-v-trenutku sicer podaljšuje življenje obstoječih hroščev, vseeno pa mora nekdo zelo natančno poznati razporeditev pomnilnika ali uporabljati posebno programsko opremo, da uspešno zgenerira izvršljiv odsek. Kakorkoli že, vse te stvari bo v prihodnosti veliko težje izkoriščati.

Slo-Tech: Hekerski malčki oz. script kiddies nedvomno predstavljajo velik delež uporabnikov Metasploita. Kako se soočate z njimi? Skušate kaj narediti glede tega ali jih le ignorirate? Čeprav mnogi strokovnjaki za varnost hekerske malčke označujejo za pravo računalniško kugo, je po drugi strani res, da je bil tudi marsikateri danes spoštovan strokovnjak za varnost tudi sam nekoč hekerski malček.

HD Moore: Marsikaj se govori, v resnici pa med uporabniki Metasploita le malo hekerskih malčkov. Razlog za to je enostaven: Metasploit pač ni najbolj enostavno orodje za take namene. Zaradi obsežnosti ogrodja in globine konzolnega vmesnika dobimo največ pritožb in vprašanj ravno glede uporabe ogrodja. Ne pozabite, da je večina javnih exploitov v obliki enostavnih skript tipa ./something. Če pa se mora nekdo naučiti uporabe konzole in se zavedati pomena obremenitve, to predstavlja precej večji vložek časa in napora, kot so ga taki uporabniki pripravljeni vložiti. Na Metasploitu delam že sedem let in v tem času sem opazil kar nekaj hekerskih malčkov, ki so odrasli v strokovnjake za računalniško varnost.

Kar se tiče podpore, poskušamo pomagati vsakomur, vseeno pa se podpora konča tisti trenutek, ko zaznamo, da s tem znanjem nekdo počne nekaj nelegalnega.

Slo-Tech: HD Moore je prava rock zvezda informacijske varnosti med IT strokovnjaki in v hekerskih skupnostih po svetu. Po drugi strani pa je Linus Torvalds nekoč izjavil, da je industrija računalniške varnosti pravzaprav le medijski cirkus, ki med uporabniki širi strah in od njih pobira denar. Kako se soočate s tem kultom osebnosti in mediji na splošno?

HD Moore: Na srečo se z mediji soočam precej bolj poredko kot Linus. Jaz rad programiram in rad vidim, da ljudje z mojo kodo ustvarijo kaj zanimivega. Zame so mediji le način preko katerega lahko objavljam nove zmogljivosti programa ter podžigam zanimanje za projekte na katerih delam.

Slo-Tech: Ne bomo vas spraševali, kateri operacijski sistem je bolj varen (Windows/Linux/Mac OS X), saj dovolj pove že dejstvo, da uporabljate Linux.

HD Moore: Začuda sem letos tudi sam na namizni računalnik namestil Windows 7, čeprav sem imel prej že od leta 1995 na namiznem računalniku nameščen le Linux. Tega nisem storil zaradi Microsofta, temveč zaradi VMWara, Truecrypta in združljivosti strojne opreme z Linuxom. Laptop, ki ga primarno uporabljam za razvoj, ima tri video izhode (internega, DVI in HDMI), nVidiini gonilniki za Linux pa DVI izhoda ne prepoznajo. Ker 90 % časa preživim v virtualnih napravah (ostalih 10 % pa med brskanjem po internetu in branjem e-pošte), izbira primarne delovne postaje dandanes ni več tako pomembna. Kljub vsemu temu pa sem v Windowsih izklopil vse, kar sem le lahko, in jih ne uporabljam za kakršnekoli pomembne stvari.

Slo-Tech: Je SDL res ultimativna Microsoftova rešitev za zmanjšanje števila hroščev v njihovi kodi?

HD Moore: SDL obstaja zato, ker so potrebovali nekakšen razvojni proces. Resda se sicer sproti razvija, vendar bo verjetno večno stopicljal pol leta za najnovejšimi tehnikami. Računalniška varnost se razvija izredno hitro; vedno in povsod obstajajo še druge poti za napad (ali obrambo) določenega problema.

Slo-Tech: Kdaj ste opisali svoj prvi exploit (spomnimo se ida_overflow.pl iz leta 2002, a verjetno ni prvi) in kateri hrošč, ki ste ga našli, je bil najbolj zabaven? Domnevamo tudi, da vseh exploitov, ki ste jih kdajkoli objavili, še niso odpravili - kateri ima torej najdaljšo zgodovino?

HD Moore: Vse to je odvisno od definicije exploita. Orodja za računalniško varnost programiram že približno od leta 1997 in tam bi se našlo tudi kako orodje za poganjanje poljubne kode na ranljivem računalniku. Z zbirnim jezikom se ukvarjam od leta 2000, šele z Metasploitom leta 2002 pa sem se res poglobil v exploite SEH. Če štejemo orodja za izvrševanje poljubnih ukazov, potem sem prvi exploit verjetno odkril že v BBS kodi sredi 90. let, sicer pa sem prvič javno objavil IDA exploit za napako v Microsoftovem IIS. V tistem časovnem obdobju sem tudi opisal exploit za komponento ISAPI, ki jo je uporabljal nek spletni bančni sistem. Kar šest let je trajalo, da so odpravili to napako, v vmesnem času pa so morali na lastne stroške stranki na strežnik namestiti Cisco Security Agent.

Slo-Tech: Pa še eno klasično vprašanje za na konec: vam na trdem disku leži kak 0-day exploit?

HD Moore: V tem trenutku ne, imam pa en star, a zabaven exploit za jBase. jBase je programska oprema, ki služi kot nekakšen posrednik med strežniki in uporabniki podatkovne baze. V privzeti konfiguraciji omogoča anonimnim povezavam, da ustvarjajo nove delovne prostore, eden od parametrov za ta delovni prostor pa je tudi ukaz, ki se izvrši ob zagonu :)

<workspace name='anyRandomName' startupScript='cmd.exe /c &#8230;'
nAvailableServers='1' workspaceAccount='root'
anonymousClientAccount='root' workspaceUsers='*' action='add'/>

HD Mooru se zahvaljujemo za intervju.