Drukarki, bikini i... Audacity, czyli o czym nie pisaliśmy w minionym tygodniu
Na szczęście, w branży IT istnieją inne tematy niż Windows 11. Szczególnie dużo działo się w dziedzinie infosec, co zawsze oznacza "przerażające" wieści, gdy ma miejsce w tygodniu bez comiesięcznego Patch Tuesday. Pewną niespodzianką zaskoczył też świat open source. O czym nie pisaliśmy w zeszłym tygodniu?
PrintNightmare
Przede wszystkim należy wspomnieć o (kolejnym) błędzie w obsłudze drukarek w Windows. Na przestrzeni ostatnich miesięcy pojawiały się aktualizacje łatające usługę Spooler, naprawiając wiele błędów. Spooler okazuje być dziurawy jak sito, a w dodatku w wielu kwestiach nieruszany od czasów Windows NT 4.0.
Mimo wielu poprawek, Spooler zawierał wykryte wiele miesięcy temu słabości, których naprawy Microsoft... odmówił. Wiadomo było dzięki temu, że w domenie Active Directory da się w pewnych warunkach da się zmusić DC do wykonania kodu poprzez podstawienie "lewej" drukarki. W pewnych kręgach stało się jasne, że wysoce wskazane jest wyłączanie Bufora Wydruku na kontrolerach domeny, jeżeli to możliwe.
Był to przykład tej słynnej "tajemnej" wiedzy, za którą płaci się fachowcom, gdy nie potrafi się zabezpieczyć sieci czytając tutoriale i odpowiedzi na ServerFault. Zjawisko było nieudokumentowane poza badaniami niezależnych ekspertów i zbierało bardzo mało prasy. Skłaniało to zadawania pytań w stylu "jakim cudem jest tak spokojnie - dlaczego administratorzy AD nie mają właśnie ataków paniki?".
Najwyraźniej wreszcie coś się "przetkało". Nowy, dopracowany exploit pozwala uwierzytelnionemu w domenie użytkownikowi zdobyć podwyższone uprawnienia na DC. Z punktu widzenia modelu bezpieczeństwa Active Directory, jest to "gave over" dla domeny. Poprawki dalej nie ma. Nie jest to także pierwszy przypadek przeoczonej dziury.
Bikini
Infosec zajmował się dotychczas czymś innym niż niniejszą dziurą, nazwaną PrintNightmare. Oto w akcie protestu, specjalistki ds. bezpieczeństwa systemów IT udostępniały swoje zdjęcia w strojach kąpielowych, w ramach akcji #infosecbikini. Źródłem owego protestu był sprzeciw wobec coraz częściej formułowanego na Twitterze zarzutu wobec specjalistów infosec: "nie piszcie tyle o swoim życiu, tylko o IT!".
Ostatnie kilka poważnych incydentów bezpieczeństwa poskutkowało zwiększeniem popularności specjalistów w social mediach. Nowi odbiorcy ich treści często okazywali się oczekiwać wyłącznie materiałów branżowych, mylnie zakładając że śledzone konta są kontami "firmowymi", publikującymi wyłącznie zrecenzowane artykuły naukowe, próbki kodu i wątki analityczne.
Tymczasem infosec nie jest dziedziną rozwijającą się na zasadach "profesjonalnych dostawców kontentu" lub dyskursu akademickiego. Większość prac prezentowanych między konferencjami branżowymi ma charakter prywatnych dociekań, spisywanych na brudno przez ekspertów po godzinach. Z wykorzystaniem osobistych kont, gdzie poza IT pojawiają się zdjęcia z imprez, recenzje ciast i narzekanie na nowy odcinek serialu.
Pretensje wobec czelności całodobowego niepublikowania treści eksperckich za darmo poskutkowały zalewem fotografii przypominających, że malkontenci mają do czynienia w ludźmi, a nie maszynami do kontentu. Kilkudniowy pochód bikini przerwała w końcu afera z drukarkami.
Audactiy
Uwagę na siebie udało się także zwrócić projektowi Audacity. Ten edytor audio rozwijany na zasadach open source przeszedł kwietniu w ręce prywatnej firmy, która z początkiem lipca zmodyfikowała politykę prywatności aplikacji. Uczyniła to dość zaskakujący sposób, niekoniecznie popierany przez użytkowników.
Wedle nowej polityki, za zbieranie danych telemetrycznych (i nie tylko!) odpowiada organizacja WSM Group, zarejestrowana w Kaliningradzie. Ponadto, deklaracja prywatności wprowadza ograniczenie w postaci wieku minimalnego (13 lat) potrzebnego do korzystania z aplikacji (open source!). Wprowadzono też kolekcjonowane danych "niezbędnych dla stróżów prawa", niewymienionych wprost. Naturalnym podejrzeniem jest tutaj ochrona praw autorskich firm fonograficznych.
Powstały już, oczywiście, forki bez "podejrzanych" składników ErrorReport oraz Sentry. Dystrybucje dostarczają, póki co, starsze wersje. Uzasadnionym jest podejrzewać, że program zostanie sforkowany i dostarczany bez "nowości", usuwając automatyczne zgłaszanie błędów, które w świecie open source następuje w zupełnie inny sposób (jak np. ABRT) niż w przypadku aplikacji komercyjnych. Być może nowy właściciel projektu o tym nie wiedział.