A mediados de Agosto se anunció en el blog de exploit-db una iniciativa promovida por la empresa de seguridad informática Abysssec, la cual denominaron MOAUB - Month Of Abysssec Undisclosed Bugs (en castellano, algo así como el mes de los bugs no publicados por Abysssec), en la que, a partir del 1 de Septiembre y durante todo el mes, cada día se publicarían 0days, investigaciones, estudios con análisis de binarios y sus correspondientes pruebas de concepto, vulnerabilidades en aplicaciones web...de compañías tales como Microsoft, Apple, Adobe (no podía faltar, de este por desgracia se va a poder hacer hasta un YoAB...), etc.
Además de utilizar la propia página de la compañía para ir anunciando todas sus publicaciones, su principal plataforma con todos los detalles e informaciones sería la propia exploit-db, web por excelencia de recopilación de exploits, papers y demás (tras la desaparición para siempre del proyecto milw0rm).
Pues bien, ya nos encontramos recién comenzado Septiembre, y de momento ya contamos con 4 advisories. En un principio, personalmente creía que se publicaría una vulnerabilidad al día, pero a fecha 2 de Septiembre, llevan un ritmo de 2 por día. Para el día 1, se han publicados dos advisories: uno de Cpanel que permite saltarse restricciones de seguridad (impuestas por mod_security u otros mecanismos) y otro con ejecución de código remota y local tanto en Adobe Acrobat Reader como en Flash Player. Para el día 2, Abysssec publicó una ejecución de código en Apple Quicktime y un buen conjunto de graves vulnerabilidades web que afectan al software de creación de portales Rainbowportal.
Lo más llamativo es la cantidad de detalles que se dan sobre la vulnerabilidad para cada una de ellas, y parece que es algo que seguirá presente en todo lo que vayan publicando. No se limitan a comentar por encima la función vulnerable y publicar el exploit o PoC, son advisories con alto nivel de detalle técnico sobre la vulnerabilidad.
No es la primera vez que se realizan iniciativas de este tipo, las llamadas Month Of Bugs: que durante un mes entero, un investigador o grupo de seguridad se dediquen a publicar vulnerabilidades de un producto en concreto, servicio, fabricante o compañía.
- El año pasado el investigador israelí Aviv Raff comenzó el blog TwitPwn para registrar todo lo que diese de sí el MoTB - Month Of Twitter Bugs (el mes de los bugs en Twitter), que al final resultaron ser vulnerabilidades en aplicaciones que utilizaban la API de Twitter o que estuviesen relacionados con el servicio de alguna manera. Dicho investigador también fue partícipe en Julio del 2006 del MoBB - Month Of Browser Bugs (el mes de los bugs en navegadores).
- Kevin Finisterre y otros, en Noviembre del 2006, llevaron a cabo el MoKB - Month Of Kernel Bugs. Más adelante, en Enero del 2007 realizaron el MoAP - Month Of Apple Bugs.
- En Marzo del 2007, el Hardened-PHP Project realizó el MoPB - Month of PHP Bugs, publicando más de 40 vulnerabilidades en el intérprete de PHP. Y a diferencia de las anteriores iniciativas, en esta ocasión una organización, SektionsEins decidió conformar una iniciativa denominada MoPS - Month of PHP Security realizando para ello un proceso de selección de entre todas los trabajos que recibieran sobre seguridad en PHP. El pasado Abril terminó el proceso de solicitud de artículos e investigaciones sobre seguridad en PHP y ya se eligieron este Junio los ganadores. El segundo premio fue para Johannes Dahse, segundo ganador del Wargame que organizamos para la Campus Party Europa 2010.
Muchos opinan que se tratan de estrategias de marketing y promoción, pero lo que está claro es que dan sus frutos, y nos mantienen un mes más que entretenidos.
0 comments :
Publicar un comentario