Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga

Cracker‑támadás a Vendor‑Sec listán

2011.03.05. 10.07
Naivság lenne azt hinni, hogy a nyílt forráskódú világban felbukkanó biztonsági hibákat - a zárt forráskódú fejlesztőkkel ellentétben - azonnal közzéteszik, hogy a fejlesztők gyorsabban reagálhassanak. Ez a valóságban picit másképpen működik. Persze ez számos helyen előfordul, de a komolyabb helyeken, ahol a rendszerek alapjait fejlesztik (Linux, BSD), egyszerűen nem engedhető meg a nyilvánosságra hozás addig, míg be nem foldozzák a sérülékenységet. Ezeket a fejlesztéseket zárt, kizárólag tagok számára elérhető levelezési listákon tárgyalják meg, ezzel is védve a biztonságot.

Ilyen levelezési lista a német Vendor-Sec (lst.de) is, amiről a napokban kiderült, hogy cracker-támadás áldozatává vált. A Január 20-án elkövetett behatolást Markus Meissner fedezte fel, aki azonnal értesítette a tagokat arról, hogy az információfolyamot harmadik fél is olvashatja. Ezek az információk egyszerre értékesek és veszélyesek a szabad világra nézve, de egy támadó számára ennek már komoly pénzbeli értéke is lehet. Valószínűleg a kérdéses cracker sem kedvtelésből törte fel a levlistát, különben már értesítette volna az üzemeltetőket a biztonsági hibákról és a behatolás módszeréről.

Az üzemeltetők kénytelenek voltak elérhetetlenné tenni a szervert és arra a döntésre jutottak, hogy a Solar Designernek (OpenWall) adnák át a lista karbantartását. Az OpenWall nyitott volt az átvételre, viszont a fejlesztési irányok számbavétele során arra a következtetésre jutott, hogy a lista nem téríti meg a befektetett energiát. A lista sorsa most a Vendor-Sec közösségén múlik.