Az Ubuntu maradt állva a PWN to OWN versenyben

A PWN to OWN biztonsági vetélkedő első napján nem sikerült feltörni az egyik kiállított rendszert sem. Az Ubuntu-t futtató Sony VAIO, a Windows Vista-t futtató Fujitsu U810 és a Mac OS X-et futtató MacBook Air is túlélte a támadásokat. A második napon azonban - mikoris a szervezők könnyítettek a szabályokon - a MacBook Air 2 perc alatt kapitulált. A harmadik napon már csak az Ubuntu-s és a Vista-s gép játszott.

A harmadik támadássorozat helyi idő szerint tegnap délután fél egykor indult. Fél háromkor még mind a Vista-s, mind az Ubuntu-s gép tartotta magát. Azonban este 6 után a szervezők bejelentették, hogy a tavalyi PWN to OWN győztes Shane Macaulay - aki akkor egy MacBook-ot tört fel - (Alexander Sotirov és Derek Callaway segítségével) sikeresen feltörte a Windows Vista Ultimate SP1-et futtató gépet, miután telepítették arra az Adobe Flash legfrissebb verzióját. A versenyszabályzat értelmében a harmadik napon már ki lehetett használni bármely, az operációs rendszeren futni képes 3rd party alkalmazásban rejlő hibát is.

Az Adobe Flash 0day exploitot megvásárolta a Zero Day Initiative.

A győztes a Fujitsu U810-es gépe mellett 5 000 amerikai dollár jutalomban is részesült.

A verseny végeredménye:

A részletek a TippigPoint blogjában.

Hozzászólások

Azért érdekes, hogy mindig mindenki a Windows-t szidja, miközbe a MacOS hiányosságairól alig esik szó, és most mégis a Mac vérzett el elsőnek, nem is kellett nagy erőfeszítés hozzá.
--
Discover It - Have a lot of fun!

lehet azért, mert a Mac-et nem tudja mindenki megvenni és így nem derül ki annyi hiba, a másik ilyen, dolog, hogy a Mac-et _általában_ a végfelhasználók használják, azok meg tesznek rá a biztonságra, mert azt sem tudják, mit hogy kell csinálni és hangsúlyozom mégegyszer átlagfelhasználók :)

debian gnu/linux @ linux-2.6.22.20-op1 | patch
info

Valoszinuleg 2 oka van:
A Microsoftnak kb. olyan jo a hire, mint a BSA-nak es Bin Ladennek egyuttveve. Az Apple nem asta meg el magat ennyire.
Az Apple reszesedese nalunk elhanyagolhato. Igy nem is szidjak, mert nem ismerik.

Volt mar korabban is hir, hogy valaki feltette a Mac-jet netre, hogy torjek fel. Akkor nem birt ki 1 napot.

----
Sooner or later you had to talk, even if it was only because you'd run out of things to throw. - Pratchett
honlap készítés

Az Ubuntura is csak egy mplayer/vlc/kedvenc nem "security from scratch" program kellett volna.
Lehet, hogy végig kellene olvasnom a linkeket és abból kiderülne, hogy miért is nem hülyeség biztonságosabbnak gondolni azt, ami "nem vérzett el" azzal szemben, amely már a második napon kompromittálódott?

5K dollárt. Annyit kapott volna a TippingPoint-tól (az nem világos, hogy a Zero Day Initiative ezt még megfejelte-e volna valamivel, de nem hiszem, mert a ZDI a TippingPoint "exploitfelvásárló kezdeményezése").

Ja és igazából itt nem is biztos, hogy az itt kapott pénzdíj a főnyeremény, hanem az, hogy megismeri a világ és jobbnál jobb ajánlatok közt válogathat. Lehet, hogy a hírnévből kifolyólag kapott állás első havi fizetése vagy szabadúszóként az első megbízás tiszteletdíja többszöre még a fődíjnak is.

--
trey @ gépház

Na épp ezért nem mindegy IMHO, hogy egy kevéssé használt OS-en egy kevéssé használt lejátszót tör fel, vagy egy széles körben használt OS-en egy olyan program sebezhetőségét használja ki, ami jó sok gépen fenn van.
Mondjuk az is hozzátartozik, hogy -- ahogy ez a hírben le van írva -- ez a fószer nem kezdő a témában.
It doesn't matter if you like my song as long as you can hear me sing

Az idő nem tényező, valószínűleg nem ott látták a kérdéses rendszereket életükben először a versenyzők. Aki odament, az jó eséllyel már a kész és működő kis exploitjával ment oda, erre utal a 2 perces Safari törés is. Nyilván nem 2 perc alatt készült el vele, hanem ennyi idő alatt nyitotta meg az operátor a preparált lapot.
Tehát szerintem ha lett volna valakinek Ubuntuhoz működő exploitja, valószínűleg nem hagyta volna ki 5k$-ért.

"Nyilván nem 2 perc alatt készült el vele, hanem ennyi idő alatt nyitotta meg az operátor a preparált lapot."

Értem, tehát az operátor délután fél egytől nyitotta meg a preparált oldalt este hatig. Ja, nem. Közben még telepítettek egy Adobe Flash-t is. :)

"Tehát szerintem ha lett volna valakinek Ubuntuhoz működő exploitja, valószínűleg nem hagyta volna ki 5k$-ért."

Ezt állítottam én is, annyi különbséggel, hogy én nem Ubuntu exploit-ról, hanem Ubuntu-n futó 3rd party programról beszéltem :)

--
trey @ gépház

"Ja értem. Ott sikerült. A másik kettőnél meg több óra kellett az egyikhez. Pedig nyilván félkészülhettek volna azokra is, hiszen tudták már két nappal előtte is, hogy mit kell feltörni."

99.9%-ig biztos vagyok benne, hogy a vista/flash-es esetben is mar elore osszerakott exploitot hasznalt az illeto, csak bejott valami nem vart dolog (pl. masik build, ahol picit mashogy nez ki a memoria, mas nyelvu windows, amitol szinten el tudnak csuszni a dolgok, stb), ami miatt a helyszinen improvizalni kellett.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Senkinek nem kellett az ubuntus laptop...

Szerintem túl keveset tudunk, vagy legalábbis nem tudom elképzelni a tudomány jelenlegi állása mellett, hogy föltették a Flash-t, és hipp-hopp meg lett törve azon keresztül (tehát nem volt user interaction meg ilyenek).
It doesn't matter if you like my song as long as you can hear me sing

Hát máshogy távolról nem lehet kihasználni egy flash hibát, csak úgy, hogy meglátogatsz egy preparált weboldalt, amely tartalmaz egy flash exploitot. :)

Flash egyébként egy hatalmas bughalmaz, szóval rengeteg kihasználható hibát lehet találni benne. Már az SWF parser része is annyira katasztrófális, hogy simán fuzzing módszerrel találhat bárki benne sebezhetőséget...

Minek törni ha megdöglik magától?
Mondom ezt még egy elcseszett nap után, amikor is rá próbáltam erőszakolni az Acerre az Ubuntut.
(Igen, ment bugreport.)
--
the tide is turning

Debianos vas meddig bírta volna? :) Mondjuk a jelenlegi stabil (Etch) mindenféle birizgálás simogatás nélkül sima installal és mondjuk gnome-mal? :)
_____________________________________________
blackrose@blackpc (16 évesen 3 éve Linux user és büszke rá)
BlackPC: Intel Celeron 2GHz, 1GB 400MHz DDRAM, 200 GB HDD, ATi Radeon 9600, OS: Debian GNU / Linux "Lenny" 2.6.24-1-686

óvatosan! a skyneten WinXP fut :):):):) XDXDXD
___________________________________________________________
blackrose@blackpc (16 éves, 3 éve Linux user, és büszke rá)
BlackPC: Intel Celeron 2GHz, 1GB 400MHz DDRAM, 200 GB HDD, ATi Radeon 9600, OS: Debian GNU / Linux "Lenny" 2.6.24-1-686

Hát, ugye ahogy az a múlt hónapban kiderült, a CONFIG_CC_STACKPROTECTOR kernel opció nem sok szart ért a valóságban, mert Makefile-ból gyönyörűen kiiktatták fordításkor az -fno-stack-protector kapcsolóval. Tehát a kernel biztosan nincs ssp-vel fordítva Ubuntu alatt sem. Nem is lehetett eddig, mert akkor már a boot során elhasalt a kernel. PaXTeam debuggolta ki nekik a problémát és tette rendbe teljesen a kernel fejlesztők fejében a dolgokat, hogy hogyan is működik és miként kell hozzáállni security oldalról ennek a védelemnek.

"Tehát a kernel biztosan nincs ssp-vel fordítva Ubuntu alatt sem."

Ez igy van, sot, nem csak a kernel, pl. a libc is. Nem is errol volt szo, hanem hogy "tök mindegy, hogy melyik Linux disztribúció".

"a CONFIG_CC_STACKPROTECTOR kernel opció nem sok szart ért a valóságban, mert Makefile-ból gyönyörűen kiiktatták fordításkor az -fno-stack-protector kapcsolóval"

Es (mint ahogy az altalad linkelt postban paxteam le is irta) az adott esetben (vmsplice exploit) egyebkent sem sokat ert volna.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Azért az kemény, hogy a sok apple fanboi még most is próbálja megmagyarázni, hogy az osx a király az ubuntut csak azért nem törték fel mert nem akarták/kevés volt a díj, stb. VICC...

Tényleg kemény, hogy az apple fanboi amelyik felnyomta a ringyógyot apple fanboi:
http://dvlabs.tippingpoint.com/img/team_vista.jpg
"Above pictured is Aaron from TippingPoint on the left officiating in front of the Fujitsu laptop, while Shane Macaulay and his pwnage assistant Alexander Sotirov (next from left to right) refine the Adobe Flash exploit."

Vicc, hogy egy rakás (FOSS) hacker apple fanboi.

hat talan, hogy nem kene varni minden firmware frissitesnel az uj feltoresre, ha egyaltalan lesz (mondjuk valoszinu, hogy lesz), meg nem kene attol felni, hogy a firmware frissites hazavagja az osszes nem hivatalos cuccodat. aki szeret barkacsolni annak ez teljesen jo, en is szeretek amugy (csak nem apple cuccot).

- Use the Source Luke ! -

Nos, azert tegyuk hozza, hogy Safari buggal betorni nem vaszisztdasz. Minden ertelmesebb mac user firefoxot v. webkitet hasznal. :) Aki meg nem, annak meg ugyis mindegy milyen OS van alatta, ugysem ert hozza annyira, h erdekelje. Ideje volt egy pofon az Apple-nek is.

Szerk: Hogy ok miert totojaztak a Windows v. Ubuntu-val, jo kerdes, igazabol nem igazan erdekel, de hogy a Safarin Mac-et toro pasas elore dolgozott es kesz anyaggal jott, az tuti. :) Ebbol meg mindenki azt von le amit akar. :)

---
pontscho / fresh!mindworkz

Azt hogy érted, hogy nem Safarit, hanem Webkitet? A Webkit tudtommal egy motor, amit pont, hogy a Safari használt először. Tehát a gyári Safariban is Webkit van. Azaz ha letöltöd a nightly Webkitet, az a Safariba is bepülhet. Az más kérdés, hogy lehet más böngészővel is használni.

Külön App a Webkit és külön a Safari ergo nem a safarit indítjuk. Amúgy a felület ugyan az nyilván, és a Safari különböző biszi baszijait használva így elkerülve a duplikációkat, de alatta a motor mindig a legújabb. Én pl szépen minden nap nyomok 1 nightshiftet ami berántja a legújabb engine-t. Idejét nem tudom mikor indítottam Safarit vagy Firefoxot.

------------------------------------------------------------------------
MacBook Pro 2.2 OSX 10.5 - PowerMac G4 Dual 450 OSX 10.4 Server

Ideje volt egy pofon az Apple-nek is.

Rágyúrhatnának már végre a securityre is. Szívesen vennék egy Macbookot.

...Safarin Mac-et toro pasas elore dolgozott es kesz anyaggal jott, az tuti...

Én azt gondoltam, hogy ilyenkor mindenki előre dolgozik. Van egy exploit készlete, amit a megfelelő körülmények fennállása esetén csak előránt és kész a törés. Ezért csodálkozom, hogy a Vista eddig húzta és az Ubit meg nem törték meg. Kétlem, hogy az alaptelepítésű Vista vagy Ubuntu ennyire biztonságos volna.

init();

Akkor a mostani notimra is tehetnék Linux-ot. Igazából úgy kéne Unix, hogy közben legyenek rá professzionális szoftverek is (pl. Photoshop, Dreamweaver stb. Vagy hogy mást ne mondjak pl. a fényképezőgépemhez adott szoftverek csak Windows-ra meg OS X-re készültek el.) Ilyen Unix meg csak az OS X.

init();

Pusztán felhasználói szemmel:
- kevesebbszer rohad le (két fázisban használtam Vistát, az első kb. 3-4 hónapig 2006 végétől, illetve 2007 kb. nyarától a mai napig, az első fázisban találkoztam furcsa dolgokkal -pld BSOD-, a másodikban nem)
- sokkal kényelmesebb userként használni, egy-két kivételtől eltekintve ha olyan dolgot akarok csinálni, amihez admin user kell, jelszót kér, nem kell FUS-olni, vagy runas-elni
- sokkal megbízhatóbban jön ki a suspendből, mint az XP. Régebben megörvendeztetett néha olyannal, hogy fekete maradt a képernyő, de valamelyik update után ez megjavult, azóta egyszer sem volt ilyen gond
- az energiabeállítási lehetőségek (vagy minek hívjam) sokkal korrektebbek. Az XP-nél volt, hogy csak adminként tudtam állítani valamit, aztán userként használva nem érvényesült, vagy éppen elállítódott. Vistánál ilyennel nem találkoztam.
- úgy általában (a fentihez hasonló kis dolgokkal együtt) sokkal használhatóbb, mint az előd verziók

Persze hibája is van:
- utálom, hogy 2GB RAM-mal és 7k2 RPM-es diszkkel néha csak teker és teker, perceket kell várni akár egyszerűbb dolgokra is (jól látszik, hogy kevés a RAM, vagy csak bután swappel)
- a Cisco VPN kliens pld. egy katasztrófa vele, lassan csatlakozik, failed to enable virtual adapter, dehát a Cisco szoftverekről tudjuk, hogy szarok... (és ezt több release óta képtelenek voltak javítani)
- valamiért a broadcom NIC ha link van rajta 30-40%-os konstans kernelterhelést ad, ez nyilván a driver hibája, a fixet még nem találtam meg...