Bug Online

Pentagon i NASA oduvijek su bile hakerima izuzetno zanimljive mete - u većini slučajeva više iz nekog hakerskog prestiža, nego zbog samih povjerljivih podataka koji se nalaze na računalima dotičnih. Tako s vremena na vrijeme u javnost procure priče kako je neki zaigran klinjo željan slave (koji se u medijima instantno proglašava hakerom) više ili manje uspješno zadobio pristup u njihovu internu mrežu.

No to su samo priče za koje znamo, priče koje su na neki način dospjele u javnost. Usudio bih se špekulirati da postoji i određen broj slučajeva gdje individue neopaženo izigraju njihove zaštitne mehanizme i zadobiju pristup u njihovu internu računalnu mrežu, a da ih nitko ne primijeti.

Zadnja je takva medijski popraćena priča slučaj britanca Garya McKinnona, koji je provalio u pedeset i tri računalna sustava američkih vladinih agencija, uključujući i NASA-u. Nakon što je uhvaćen, rekao je: "Jednom kada ste u mreži, možete pokrenuti naredbu netstat - network status - koja ispisuje sve konekcije prema tom računalu. Bilo je hakera iz Danske, Italije, Njemačke, Turske, Tajlanda... Svake noći, tijekom pet do sedam godina koliko sam to radio."

Pet do sedam godina... Bio je u njihovim sustavima pet do sedam godina, a da ga nitko nije primijetio ili uhvatio. Kao što citat potvrđuje, bilo bi glupo pretpostavljati da je on bio jedini. Za te mu postupke prijeti izručenje SAD-u i zatvorska kazna do 70 godina. Kada su ga priupitali zašto je to radio, rekao je da je samo tražio čvrst dokaz postojanja izvanzemaljskog života. Autor teksta, konkretno u ovom slučaju, teško da može biti objektivan i baš rezolutno osuditi sve njegove postupke jer je u srednjoškolskim danima i sâm fanatično konzumirao seriju X-Files i sve vezano uz njih... a znatiželja je ponekad za*ebana stvar. Više informacija o Garyjevim otkrićima može se pronaći na adresi http://www.ufocasebook.com/mckinnondiscoveries.html.

Doza skepse po izboru čitatelja.

Moja priča

Nakon jutarnje kavice i cigarete slijedi pregledavanje novih, još svježih sigurnosnih ranjivosti. Između uobičajenih dosadnih ranjivosti u nekim lijevim web aplikacijama isticala se NASA-ina vijest da je objavila novu verziju svoje biblioteke Common Data Format (CDF). Nakon kraće konzultacije s tražilicom vezano uz riječi "NASA" i "CDF Library", naletio sam na nešto zanimljivo: "Lists open source projects that could be essential to NASA missions." Zanimljivo... NASA interno razvija open source rješenja koja bi mogla biti esencijalna za njezine misije. Kao da je pisalo - "Leon, razvali ovu aplikaciju, kak god znaš i možeš." Na kraju stvarno i jesam, no kako je to izvedeno, saznat ćete nastavite li pratiti članak.

Nakon dva-tri klika, našao sam se na web adresi NASA-inog Goddard Space Flight Centera (http://cdf.gsfc.nasa.gov/) s koje je moguće preuzeti zadnju verziju CDF-a.

Biblioteka Common Data Format služi za pohranu i manipulaciju skalarnih, vektorskih i višedimenzionalnih nizova podataka. Podaci se pohranjuju u formatu čija je struktura također definirana i dokumentirana na prethodno navedenoj adresi. Nakon preuzimanja najnovije verzije programa uslijedilo je neobavezno pregledavanje izvornog kôda. CDF je napisan u C-u, što automatski implicira širok dijapazon potencijalnih sigurnosnih ranjivosti vezanih uz rukovanje memorijom (engl. memory management). To su u biti ti famozni buffer overflow bugovi (odnosno stack overflow, heap overflow, integer overflow itd.). Jedna napomena: u nekim dijelovima članak zadire u prilično stručnu low-level materiju, pa ako vam se dogodi da ne shvatite najbolje što je pjesnik htio reći, nastavite s rečenicom ili dvije iza i pohvatat ćete konce.