Az iPhone, Safari, IE8, Firefox mind elesett a Pwn2Own 2010-en

Titkosítás, biztonság, privát szféra

A javában folyó kanadai CanSecWest konferencia adott otthont az idei Pwn2Own biztonsági versenynek. A nevezettek megmutatták, hogy hogyan tudnak feltörni egy nem jailbreak-elt iPhone-t, egy OS X-en futó Safari-t, egy Windows 7-en futó IE8-at és Firefox-ot.

A többszörös Pwn2Own győztes Charlie Miller szokás szerint a Safari-t választotta. 10 000 dollárt nyert a feltörésével.

A holland, független biztonsági szakember, Peter Vreugdenhil szintén 10 000 dollárt kapott az Internet Explorer 8 biztonsági mechanizmusainak megkerüléséért.

A tavalyi versenyen is rendkívül sikeresen "dolgozó" Nils - aki nem árulta el a teljes nevét - is 10 000 dollárral lett gazdagabb a Firefox legyűréséért.

Ralf Philipp Weinmann és Vincenzo Iozzo az iPhone-t pwnolták, így osztoznak a 15 000 dolláros jutalmon.

Miller nem szolgáltatott részleteket az exploit-ról. Annyit mondott el, hogy a sikeres exploitálás után interaktív shell-hez jutott, amellyel gyakorlatilag tetszőleges parancsot futtathatott a rendszeren.

Vreugdenhil elmondta, hogy az IE8 meghackeléséhez legyűrte az ASLR és DEP védelmeket, majd végül hozzáfért a rendszerhez.

A Firefox-ot támadó Nils egy memóriakorrupciós sebezhetőséget használt ki. A Firefox gyengeségét kihasználva megkerülte az ALSR és DEP védelmi mechanizmusokat.

A Microsoft-ot megkérdezve arról, hogy a résztvevőknek hogyan sikerült kijátszaniuk az ASLR és DEP védelmeket, a vállalat képviselője azt nyilatkozta, hogy megvizsgálják a sebezhetőségeket.

A részletek itt olvashatók.

( asm v | 2010. 03. 25., cs – 09:26 )

Gratulalok a versenyzokek! Gyakrabban kellene ilyet rendezni...

( agolon | 2010. 03. 25., cs – 09:27 )

Nils azért titkolja a nevét, mert fél, hogy megtámadják az Mozilla-aktivisták?
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2

nem, mert még mindig a két éve kezdett Ubuntuval próbálkoznak. de eddig nem sikerült. így nem éri meg. :)
meg egyébként sem, mert ezek - gondolom -nem arról szólnak, hogy "fasza csávó vagyok, bármit feltörök", hanem melyik multiból lehet kisajtolni egy kis dellát. a Debianból hogy sajtolnának? ;)

amit belinkeltel, az a vallalati szferanak szant cucc, viszont en nem arra gondoltam, hanem erre. tehat mobil telefonra, otthoni gepekre nincs kereskedelmi termekuk, mig egy Apple-nek vagy Microsoftnak meg van, ezekrol szol ez a verseny. nyilvan ki lehetne terjeszteni mas termekekre is, hogy RHEL Desktop meg Ubunutu szoba johessenek, de annak elofeltetele a piaci ternyeres, ami legalabbis a szervezok szerint nincs meg.

az altalad linkelt oldal arrol szol, amit az oldal cime is ir: Red Hat *Enterprise* Linux Desktop. es nem Red Hat Home/Consumer/stb Linux. ahogy azt az altalam linkelt cikk is egyertelmuen leirja: we have no plans to create a traditional desktop product for the consumer market in the foreseeable future. es nem a fizetosseg miatt valik valami uzleti/otthoni felhasznalasra szantta, hanem a terjesztes/tamogatas/stb modjatol. azt meg hogy kitol mit vehetsz meg, leginkabb toluk kell megkerdezni, nem tolem ;).

azért kicsit álnaiv kérdések voltak, de a lényeg az, hogy attól, hogy enterprise, még otthon is használható, ha azt az x idejű liszenszet kifizetem, így akár desktopnak is nevezhető. főleg, ha a vállalati felhasználás szempontja fontosabb. tehát az alapfelvetés szerint akár még szerepelhetne is a tesztben. :)

> de a lényeg az, hogy attól, hogy enterprise, még otthon is használható

hasznalni hasznalhato, de az, hogy a gyarto hogyan pozicionalja a termeket, ill. hogy te mire hasznalod, az ket fuggetlen dolog. a gyarto ugy tekint a termekere (es akkent tamogatja/licenszeli/stb), ahogy o akarja, nem ahogy te hasznalod.

> főleg, ha a vállalati felhasználás szempontja fontosabb. tehát az alapfelvetés szerint akár még szerepelhetne is a tesztben. :)

azt nem tudom, hogy az otthoni/vallalati felhasznalas-e a fontosabb a pwn2own-ban, a de piaci reszesedes mindenkepp. az RHEL (ilyen vagy olyan desktop) nem utotte meg a mercet, mint ahogy az Ubuntu sem.

( nagy_peter v | 2010. 03. 25., cs – 09:39 )

Azt olvastam egy másik biztonságtechnikai oldalon (pontosan már nem tudom hol), hogy a DEP-ben olyan hibát találtak, ami tulajdonképpen tervezési hiba, és teljesen nem is javítható. Ha ez igaz, akkor a Windows védelmi mehanizmusa, amire az IE épít elég gyakran, gyakorlatilag semmisnek tekinthető, innentől viszont nehéz lesz az explorert beállítani a legbiztonságosabb böngészőnek.

Nagy Péter

A DEP az nem egy hibanak a javitasa, hanem mint olyan a hiba kihasznalasat nehezito intezkedes. Gyakorlatilag csak annyit tesz lehetetlenne, hogy UJ kodot injektalj a rendszerbe. Ha a mar meglevo kodot hasznalod fel, azellnemved. Ezt meg tudod csinalni pl ugy, hogy a specialisan felallitott stacked segitsegevel olyan helyre ugraltattatod a cpu-t, hogy az az ilyen kod-reszletek vegrehajtasaval ertelmes dolgot csinaljon. Ezt hivjak Return Oriented Programmingnek.

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

( RaptoR | 2010. 03. 25., cs – 09:44 )

Azon lepődtem volna meg, ha valamelyiket nem tudják pár perc alatt feltörni. :)

A Chrome-ot még nem törték fel, bár gondolom ez tényleg annak tudható be, hogy mondjuk amivel készültek feltörni, azt tegnapelőtt javították, és kell egy nap, mire előállnak egy újabbal. Ha a vesreny végéig nem törik fel, akkor az már jelentene valamit. De ezen nagyon meglepődnék...

( trey | 2010. 03. 25., cs – 10:10 )

Ez már a Windows 7 sokat hype-olt, jól implementált ASLR-je?

--
trey @ gépház

Driverek már vannak, de rendszer nem lett jobb. Pont tegnap találkoztam egy új vistás laptoppal, valami dualcore 2Ghz meg 2GB ram volt, kb. félórát használtam, amíg feltelepítettem rá pár dolgot meg beállítottam. Ezalatt többször volt olyan, hogy azt hittem megfagyott a rendszer. Kattingattam össze vissza, elindítottam a telepítőt, mégegyszer, mégegyszer.... mégegyszer, és mégegyszer a telepítőt. Elindítottam egy browsert, nem jött, aztán egy másikat, az se... Majd 5 perc múlva magához tér, és elindul a 25 app, feljön a 10 UAC ablak...
Szóval rettenetesen lassú. Ez amúgy egy kb. tíz perces telepítés.
--
Discover It - Have a lot of fun!

Mi az az "ertelmes hardware"; sajat akarata van, esetleg visszabeszel? Minek vennek ilyet?! Kulonben sem a software-hez veszem a vasat, kulonosen nem a kulonbozo OS-ek igenyehez merten, hanem tudatosan olyan rendszert valasztottam, ami garantaltan el tudja kezelni (a Te terminologiaddal elve) az "ertelmetlen" hardware-t is, ill. nem szelektal...
Velemenyem szerint egy szamitogep "ertelmet" a megfelelo OS adja; oszinten mi mas, a juzer?! Az ilyen rendszer nekem 100%-ban azt jelenti, hogy akar 8-9 eves vason is vigan/hasznalhato es reprodukalhato modon muzsikal ill. nem kekeckedik hianyzo ilyen-olyan driver-t reklamalva 4-5 eves vason sem. Vista es/vagy Win7 innovacioi nelkul remekul elvagyok (nem-olyan-)kis csaladommal es nem hiszem, hogy ez Win8-tol felfele valtozna. A komplett, mukodo konfigot folyamatosan lecserelgeto arcoknak meg valojaban kulon koszonet, jo hogy hasznaltan is fillerekert hozzajuthat az ember a csilivilli erogepekhez. Magunk, de kulonosen "ertelmetlen" rendszereink szamara;)

Egyaltalan nem erzem bajnak, kulonosen hogy van a polcon minden komponensbol jopar darab tartalekban:) Vagyis _barmi_ elromlik, pillanat alatt van ugyanolyan, vagy kozel ugyanolyan... Igy jopar evig elvagyunk meg a jelenlegi gepparkkal; nincs okom az oregecske gepeket lecserelni, mert ami rendszerileg fut rajtuk, nem igenyli a frissebb-lagyabb-jobb combot-t. Raadaskent nekem/nalunk jelentos indok a megsporolt IT szemet mennyisege, hiszen a tartalek komponensek lenyegeben (is) mar selejtezve lettek valahol, igy valojaban szemetnek minosulnek, legfeljebb ezaltal kesobb kerulnek tenylegesen kukazasra, mi magunk pedig "sajat" IT szemetet nem vagy csak nagyon minimalisan termelunk.

Szia,
nos:), van egy ilyen komplett dual slot1-es gepem is tartalekban, amit szerintem az eletben nem fogok hasznalni, igy odaad(hat)nam... Gondolom nem segit kulonosen rajtad, hogyha Becs 11. keruleteben van a kutyu, de talan megis. Dobjam el esetleg Budapestre, ha legkozelebb autoval jovunk, erdekelne? Ha kered megnezem legalabb az alaplap gyartojat / tipusat es megirom privat-ban; emlekeim szerint 128Mb RAM van benne, ami nem bovitheto, ill. vinyo nincsen benne, amugy mukodokepes.
Kerlek, kizarolag akkor follow-up-ozzuk a sztorit, hogyha meg is tartanad a gepet, elgondolasom szerint edesanyamtol lenne atveheto majus kozepetol ket uveg sörert (elvegre dual)... Ha csak az alaplap erdekel, azt is megirhatnad ide hozzaszolaskent.
Pelibali

ASLR-nélküli XP-hez képest mindenképp

De amit írtam sok éve az most is igaz: információ szivárgással kapcsolatos hibákkal az összes ilyen jellegű hardening kijátszható. Vreugdenhil is ezt tette. Lényegében nem egy, hanem két biztonsági hibát kellett kihasználnia IE8/Win7 esetén a sikeres kódvégrehajtáshoz. Az egyikkel megszerezte a megfelelő memóriacímet (infoleak, ASLR kijátszása), a másikkal kikapcsolta a DEP-et és végrehajtotta a saját kódját.

Ez is, mint nagyon sok mas vedelmi megoldas, kicsit magasabbra rakja a lecet, de onmagaban nem nyujt 100%-os biztonsagot. Nem csak erto kezek kerdese, hanem joval tobb energiat kell befektetni egy ilyen exploit megirasaba. ROP temara is van megoldas, de onmagaban az sem sokat er ha nincsenek mellette ezek a "nem sokat ero" megoldasok mint a dep, aslr es tarsai. Ha valami nem nyujt tokeletes vedelmet akkor nincs is mar ertelme, vagy szerinted hogy mukodik ez?

De, valamit ér. Ha kirabolnak egy széfet, akkor mindenképpen jól hangzik a híradóban, hogy 23 különböző kiváló zár volt rajta, amivel az ügyes mackós hosszan elbíbelődött mielőtt kinyitotta, azonban nem fogja ez valószínűleg megnyugtatni az eltulajdonított ékszerek tulajdonosát, hogy nehezebb volt valamivel a dolga, mintha csak egy Tuto lakat védte volna. :)

--
trey @ gépház

Tenyleg nem ertem, hogy ki es hol ertekelte tul :) Azt sem tudom mi a tulertekeles, hiszen itt az ASLR megkerulesere szukseg volt megegy extra hibara is, es ez nem mindig ilyen egyszeru. Vagy most az csipi a szemed, hogy a szakerto urak szerint a windows fejlettebb biztonsagban, mert van benne aslr?

Lehetne még javítani rajta bőven (pl. nagyobb entrópia elérése), de láthatóan már most is más irányokba nézelődnek a támadók, amelyeken ez sem segítene túl sokat.

Ezeket a támadásokat és az ezek ellen hozható védelmi megoldásokat PaX Team már 7+ éve leírta. A következő lépcső (ret2libc elleni védelem) remélhetőleg nemsokára kész lesz tőle.

Az egész Win7 ASLR+DEP történet iróniája egyébként az - ha már mindenképp bele akarunk kötni valamibe -, hogy későn kapcsoltak az MS-nél (6 év késéssel implementálták PaX Team ötleteit) és hogy most is van már kész megoldásuk a jelenlegi problémákra (MSR SVC Gleipnir Project keretében), de a kereskedelmi termékeikbe ezt még mindig nem tudni mikor ültetik át.

Csak lehet, hogy míg a 23 különböző kiváló zárral bíbelődik, addig megérkezik a rendőrség... ;)

Pénzügyi oldalról nézve, sokkal többe kerül (több pénzbe és több időbe) rákészülnie a mackósnak a széfre. És mivel szépen lassan kiszorítja a Tuto lakatokat a biztonságosabb széf, ezért a potenciális célpontok halmaza csökken (nem lesz kifizetődő kishalaknál próbálkozni a széffel, mert nem éri meg a befektetett időt/pénzt).

Emiatt idővel Gizi néni sokkal inkább biztonságban érezheti majd magát, mert az ő egyetlen 14 karátos karkötője miatt már nem őt fogja megkörnyékezni a mackós, hanem inkább a nagy ékszerészre fog rákészülni. :P

Pénzügyi oldalról nézve nem csak a kiadás, hanem a bevétel oldalt is meg kell nézni. Ha valakinek egy működő Windows exploit más platformhoz képest lényegesen többe, mondjuk (a példa kedvéért) 1 millió dollárba kerül, de azon 100 milliót kaszál (mert épít egy akkora botnetet), akkor ez már annyira nem is igaz.

--
trey @ gépház

Félve megjegyezném, hogy értő kezekben egyik rendszer biztonsága se ér sokat, hiába is alkalmaztak megannyi védelmet.. A kérdés persze csak az, hogy milyen magasra rakod a védelmekkel a lécet, hogy minél kevesebb értő kéz legyen, akinek megvan a tudása, hogy xart keverjen a palacsintába.
Az informatika már csak ilyen..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( Dacr (nem ellenőrzött) | 2010. 03. 25., cs – 11:21 )

Kissé elgondolkodtató, hogy egy böngésző hibájából Miller mit meg nem tudott tenni. Tetszőleges parancsot futtatni? Hm... Azon a szerencsétlen böngészőn egy rakat fejlesztő dolgozik nem kevés pénzért, erre jön egy szál ember, s azt csinál vele, amit akar. Job helyében fizetés-elvonást eszközölnék. ;)

Ez nem rácsodálkozás volt, félreérted. Én se most láttam először számítógépet, s nem is etetem kockacukorral, hogy meg ne harapjon.
Olvasd el még egyszer, hátha akkor megérted a lényegét. Inkább arról szól, hogy az adott cég mekkora pénzt képes elkérni a "csodarendszerükért", ennek ellenére évről évre széjjelveri valaki egy versenyen. Job bácsi kissé drágán méri a kupac ...-ját. (Mac rajongók, lehet jönni flame-elni...)
Így már érted?

Az igazság az, hogy ha arra mennének rá, hogy matematikailag bizonyítottan helyes kód legyen csak a rendszerükben (és most tekintsünk el attól, hogy ekkora kódbázisnál ez jelenleg lehetetlen), akkor Job bácsi nem kicsivel mérné drágábban a kupacát... ;)

Ez ugyanúgy a kereslet-kínálat törvénye és amennyivel többe kerülne nekik egy ilyen rendszert kifejlesztése, annyival többet nem tudnának elkérni érte, ergo gazdaságilag nem érné meg bevállalni nekik.

Ezért aztán marad a hardening, az exploit mitigation technikák (amiben persze az Apple igencsak a sor végén kullog, ez tény) és a forráskód auditálás olyan keretek között, ahol még megéri valahol a befektetett pénzt. Sajnos az IT security pont az a terület, ami nagyon sok pénzbe kerül és nagyon nehéz megértetni a gazdasági vezetőséggel, hogy miért van rá mégis nagy szükség.

Sokan persze kétkedve fogadják, de jelenleg a Microsoft költi a legtöbb pénzt ilyen dolgokra. Nagyon sok millió dollárt évente, csak security kutatás&fejlesztésre. Mégis jönnek ki a biztonsági hibák és HIPS megkerülő technikák továbbra is a termékeikre... Egyszerűen azért, mert nagyon nehéz megtalálni a balanszot a kompatibilitás, a biztonság, a kezelhetőség, a sebesség, a fejlődés, a gazdasági nyereségesség és még egy rakás egymásnak ellentmondó tényező között.

Ugyanez a probléma érinti a Linuxot is. Nagyon jól fejlődik, de ennek oltárán feláldozzák a kompatibilitást és a biztonságot.

Apple egyébként szerintem kezd ébredezni. Látható már egy ideje, hogy vásárolgatják fel a 0day kereskedőktől az őket érintő biztonsági sebezhetőségeket (legutóbbi néhány CUPS security bug például így került javításra), de ez egy nagyon lassú folyamat és nagyon sok mindent érint.

Ok, jogos, csak hirtelen a győztes "pályamű" ütötte meg a szemem, hogy már megint az a csóka, megint azzal a termékkel győzött. Ha többször is ugyanazon termék felhasználásával nyer az illető, akkor az már gáz, nem? (mármint a gyártónak gáz).
De igazad van, az összes többi termék hibája is elgondolkodtató, elnézést kérek!

( BaT | 2010. 03. 25., cs – 13:15 )

Mivel nem lett említve a cikkben, mi van a többivel, bemásolom:
1. PWNED! Vincenzo Iozzo and Ralf Philipp Weinmann - iPhone
2. PWNED! Charlie Miller - Safari
3. Nils - Safari (Prize Claimed)
4. PWNED! Peter Vreugdenhil - Internet Explorer 8
5. MemACCT - Internet Explorer 8 (Prize Claimed)
6. Anonymous - Nokia
7. Anonymous - iPhone (Prize already won)
8. PWNED! Nils - Firefox

Ezalapján a Nokia nem esett el, persze ez lehet azért is, mert "Anonymous" béna volt.

( trey | 2010. 03. 25., cs – 18:12 )

És akkor a Pwn2Own 2010 összefoglalása Charlie Miller-től:

"What you can see at Pwn2Own is that bugs are still in software, and exploit mitigations like DEP and ASLR don't work. Even as [defensive measures] improve, researchers still end up winning."

--
trey @ gépház