You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
22 TÉMA BEZPEČNOST<br />
Hackerská zpráva <strong>2005</strong><br />
smrtelných<br />
programátorských hříchů<br />
Windows, Bluetooth, USB, Google - nic už není jisté. Shromáždění hackerů v Las Vegas vyneslo na<br />
světlo sedm bezpečnostních děr, které vyděsily i experty tohoto oboru.<br />
1<br />
DO HLOUBI DUŠE:<br />
SHATTER ATTACK<br />
„Je přítomen vrchní státní zástupce Ashcroft?<br />
V tom případě totiž neřeknu ani<br />
slovo!“ V řadách přítomných hackerů se<br />
ozývá smích. Šedovlasý pán, který se postaral<br />
o tolik veselí v auditoriu, není nikdo jiný<br />
než Robert Morris, autor legendárního internetového<br />
červa Morris – praotce Blasteru.<br />
Je předem jasné, že některé úřady nebudou<br />
tomuto programátorovi nakloněny<br />
právě příznivě.<br />
Morris je však jen jedním z mnoha<br />
hvězdných hostů. Na DefCon 12 přijeli<br />
všichni: hackeři, bezpečnostní firmy, americké<br />
„orgány činné v trestním řízení“<br />
– a uprostřed toho všeho jsme my, redaktoři<br />
Chipu. K žádným třenicím mezi různorodými<br />
tábory nedochází – všechny účastníky<br />
přilákaly přednášky, v nichž<br />
koryfejové této branže referují o nejaktuálnějších,<br />
dosud neznámých bezpečnostních<br />
mezerách.<br />
Budoucnost bezpečnosti IT vypadá všelijak,<br />
jenom ne růžově. Přesvědčily nás<br />
o tom rozhovory s některými hackery<br />
i přednášky expertů. Mezi všemi průnikovými<br />
cestami pro virové programátory<br />
a hackery zřetelně vykrystalizovalo sedm<br />
velkých problémů – sedm smrtelných hříchů,<br />
jichž se při psaní softwaru dopustili<br />
programátoři Windows a spol.<br />
Chip vám nyní tyto bezpečnostní mezery<br />
představí. Ukáže, jak fungují, a seznámí<br />
vás s vyhlídkami na možná vylepšení.<br />
Kromě toho – kde to je možné – ukážeme,<br />
jak se proti různým metodám útoků<br />
můžete bránit.<br />
„Windows mají velký problém v samotné<br />
architektuře, který už Microsoft nemůže<br />
odstranit,“ říká Brett Moore. Štíhlý, urostlý<br />
mladík je v hackerských kruzích považován<br />
za experta na tuto oblast. Na DefCon představil<br />
nové metody tzv. „Shatter Attacku“,<br />
které využívají právě této slabiny.<br />
O co jde? Každá aplikace Windows čeká<br />
na vstup dat, aby je poté zpracovala. To se<br />
děje formou tzv. „messages“ (zpráv), které<br />
spravuje systém a dále je předává programům.<br />
Taková zpráva tedy vysílá jistý povel<br />
pro nějaké „window“ nebo „control“. Tím<br />
jsou míněny různé ovládací prvky Windows,<br />
například tlačítka, posuvníky nebo stavové<br />
řádky. Chyba spočívá v tom, že se při této<br />
akci neprovádí žádná kontrola odesilatele,<br />
takže „message“ s libovolným obsahem<br />
<br />
C H I P L E D E N 2 0 0 5