Χάρης Φλωρίδης: O ερευνητής που εντόπισε αδυναμία στην Checkpoint

Παγκόσμια Διάκριση: Χάρης Φλωρίδης – O Κύπριος ερευνητής ασφάλειας που εντόπισε & δημοσιοποίησε αδυναμία υψηλής σημαντικότητας στην εταιρεία Checkpoint!!!

To SecNews σε ΑΠΟΚΛΕΙΣΤΙΚΟΤΗΤΑ αναδεικνύει σήμερα το γεγονός εντοπισμού κρίσιμης αδυναμίας στην Checkpoint, κορυφαία εταιρεία ασφάλειας στον κόσμο από Κύπριο ερευνητή!checkpoint

Σύμφωνα με πληροφορίες που τέθηκαν υπόψη της συντακτικής ομάδας του SecNews και επιβεβαιώθηκαν από το ρεπορτάζ,στις 03 Μαρτίου 2015 ο Κύπριος ερευνητής ασφάλειας κ. Χάρης Φλωρίδης εντόπισε σημαντικότατη αδυναμία στην ιστοσελίδα της Check Point Software Technologies LtdΩς γνωστό η Checkpoint αποτελεί ένας από τους κορυφαίους κατασκευαστές συστημάτων δικτυακής ασφάλειας σε παγκόσμιο επίπεδο. Τα προϊόντα μάλιστα της εν λόγω εταιρείας, Check Point Software Technologies Ltd, προστατεύουν πέραν των 100.000 επιχειρήσεων παγκοσμίως όπως και αρκετά εκατομμύρια χρήστες.

H αδυναμία στην ιστοσελίδα της Checkpoint

Η εκμετάλλευση της αδυναμίας που εντόπισε ο κ. Χάρης Φλωρίδης  όπως αποδείχτηκε, παρείχε τη δυνατότητα σε εξωτερικό κακόβουλο επιτιθέμενο, με μηδενική γνώση της εσωτερικής υποδομής της εταιρείας,να υποκλέψει ή να αλλοιώσει κρίσιμες πληροφορίες. Η χρήση της αδυναμίας όπως αναφέρουν διακεκριμένοι ερευνητές που επικοινώνησε το SecNews, μπορούσε να προκαλέσει ανυπολόγιστες συνέπειες εκθέτοντας την εταιρεία τόσο σε θέματα εμπιστευτικότητας & νομικά ως προς τους πελάτες της αλλά και κυρίως να αποτελέσει πλήγμα στην φήμη της εταιρείας

Η ευπάθεια οφειλόταν σε μία λανθασμένη παράμετρο της υποσελίδας όπου εμφανίζονται οι συνεργάτες της σε όλο το κόσμο συγκεκριμένα εδώ (http://partners.us.checkpoint.com/partnerlocator/).

Η μερική εκμετάλλευση της αδυναμίας, προσέδιδε την δυνατότητα στον επιτιθέμενο να αποκτήσει να αποκτήσει πρόσβαση στη Βάση Δεδομένων της Check Point με πρόσθετες δυνατότητες επέκτασης της πρόσβασης. Οι αποδείξεις ύπαρξης & χρήσης της αδυναμίας είναι στην κατοχή του Ερευνητή και της εταιρείας. Η εταιρεία, επιβεβαιώνει  την εν λόγω δυνατότητα πρόσβασης όπως φαίνεται και στη σχετική ανακοίνωση, η οποία ωστόσο δεν δημοσιεύει τις ακριβείς λεπτομέρειες ώστε να μην πληγεί η φήμη της.image003

 Επιπλέον το SecNews διαθέτει στοιχεία που επιβεβαιώνουν την ύπαρξη & χρήση της αδυναμίας, αλλά δεν τα δημοσιοποιεί μιας και αναφέρονται στοιχεία Πελάτη της Checkpoint στον οποίον πραγματοποιήθηκαν οι δοκιμές.

Λίγα λόγια για τον ερευνητή

Ο Χάρης Φλωρίδης, ο οποίος είναι κάτοχος του πιστοποιητικού CISSP, εργάζεται ως Ελεγκτής Πληροφοριακών Συστημάτων στη Συνεργατική Κεντρική Τράπεζα της Κύπρου. Κατά το παρελθόν είχε εργαστεί ως Μηχανικός για το σχεδιασμό και την υλοποίηση συστημάτων ασφαλείας σε δίκτυα μεγάλων οργανισμών και ως εκτελεστής δοκιμών διείσδυσης (Penetration Tester).

Το πλάνο επίλυσης της αδυναμίας.

Ο κ. Χάρης Φλωρίδης μετά τον εντοπισμό της αδυναμίας, επιδίωξε ως όφειλε και πέτυχε συνεχή επικοινωνία με τους εκπροσώπους της εταιρείας Check Point όπου τους ενημέρωσε ενδελεχώς για τον εντοπισμό της ευπάθειας αλλά και τις δυνατότητες εκμετάλλευσής της.
Ακολουθώντας πλήρως τη δεοντολογία ως προς την «Υπεύθυνη Γνωστοποίηση Ευπαθειών», ο κ. Φλωρίδης κοινοποίησε συγκεκριμένες εισηγήσεις για την άμεση επίλυσή της και προτάσεις για πρόσθετη διερεύνηση πιθανών περιστατικών.
Σε επικοινωνία που επιδιώξαμε με τον κ. Χάρη Φλωρίδη μας ανέφερε ότι ο εντοπισμός της άκρως κρίσιμης αδυναμίας έγινε χωρίς τη χρήση αυτοματοποιημένων εργαλείων , αλλά χειροκίνητα. Είναι άλλωστε γνωστό ότι οι penetration testers υψηλού κύρους και γνώσης επιλέγουν να χρησιμοποιούν χειροκίνητες μεθόδους αποκλειστικά βασισμένες στο γνωστικό τους υπόβαθρο. Τα αυτοματοποιημένα εργαλεία άλλωστε καθιστούν  τον εντοπισμό και την εκμετάλλευση αδυναμιών πολλές φορές μη εφικτό (λόγω των περιορισμένων ελέγχων που πραγματοποιούν).
Προς τιμή του ο κ. Χάρης Φλωρίδης επέλεξε τον δύσκολο δρόμο του χειροκίνητου εντοπισμού, και έτσι οδηγήθηκε στον εντοπισμό αδυναμίας με παγκόσμιο αντίκτυπο. Άμεσα μετά την ενημέρωση η εταιρεία Checkpoint, ετοίμασε σχέδιο δράσης για την επίλυση και την πρόσθετη διερεύνηση του θέματος. Με την επιτυχή ολοκλήρωση του εν λόγω σχεδίου δράσης, προχώρησε σε ενημέρωση των πελατών της και μάλιστα στην σχετική δημοσίευση ευχαριστεί τον κ. Φλωρίδη για τον εντοπισμό και τη συνεργασία (Δείτε περισσότερα στον σύνδεσμο)(κωδικός sk105183, https://supportcenter.checkpoint.com/supportcenter/)Σημειώνεται ότι τυχόν κακόβουλη εκμετάλλευση της αδυναμίας, με ότι αυτό συνεπάγεται (εισαγωγή κακόβουλου λογισμικού, διαρροή πληροφοριών, αλλοίωση της ιστοσελίδας), σε συνδυασμό με τη φύση και τη φήμη των εργασιών της εταιρείας αλλα και το μεγάλο και σημαντικό πελατολόγιο, θα αποτελούσε ίσως ένα από τα σημαντικότερα συμβάντα σε θέματα ηλεκτρονικής ασφάλειας, σε παγκόσμιο επίπεδο.
Το SecNews οφείλει να συγχαρεί τον κ. Χάρη Φλωρίδη για την εξαιρετικής σημασίας ανακάλυψη της κρίσιμης αδυναμίας και τον υποδειγματικό τρόπο χειρισμού αναφορικά με την υπεύθυνη ενημέρωση που πραγματοποίησε. Συγχαρητήρια όμως αξίζουν και στην εταιρεία Checkpoint για την παραδοχή το περιστατικού, την δημοσιοποίηση δελτίου τύπου προς ενημέρωση των πελατών της και την άμεση επίλυση του κρίσιμου θέματος.

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

Αφήστε ένα Σχόλιο

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *