Злоумышленники блокировали работу закрытой рассылки с обсуждением уязвимостей

Взлом инфраструктуры lst.de, обеспечивающей работу списка рассылки vendor-sec, наглядно демонстрирует ущербность практики скрытого устранения уязвимостей. Список рассылки vendor-sec был недоступен для посторонних и использовался рядом крупных производителей открытого программного обеспечения для обсуждения еще не обнародованных уязвимостей за закрытыми дверями, без информирования общественности о новых проблемах. Как оказалось сервер рассылки был взломан еще в январе и все это время злоумышленники осуществляли мониторинг обсуждений в рассылке. Таким образом как минимум уже несколько месяцев на основе публикуемых в рассылке сообщений злоумышленники имели возможность оперативно создавать "0-day" эксплоиты, поражающие критические уязвимости, о существовании которых никто не догадывался.

После того как администраторы vendor-sec обнаружили факт взлома и опубликовали предупреждение для своих коллег, злоумышленники второй раз взломали сервер и устроили акт вандализма, выразившийся в уничтожении данных на сервере. По признанию администратора взломанного списка рассылки по компьютерной безопасности, программное обеспечение на сервере давно не обновлялось и содержало ряд известных уязвимостей, устранить которые у владельцев ресурса не доходили руки.

Инцидент, дал повод задуматься над целесообразностью поддержания закрытой рассылки vendor-sec. По мнению администратора рассылки, в настоящее время закрытые обсуждения уже не так эффективны в плате оперативного выпуска патчей, как было 5-10 лет назад, поэтому вероятно рассылка будет закрыта или реструктуризирована. Представитель компании Red Hat согласился с доводом, что последнее время разработчики программ напрямую уведомляют людей, отвечающих за безопасность дистрибутивов или публикуют информацию в публичных рассылках. В 2008 году из 69 обсуждаемых в vendor-sec уязвимостей о 32 (46%) уже было публично известно, в 2009 году это соотношение выглядело как 57/17 (30%), а в 2010 - 29/22 (76%).

©  OpenNet