PWN to OWN - biztonsági verseny a komoly díjakért

Tegnap nyitotta kapuit az idén kilencedik alkalommal megrendezésre kerülő CanSecWest biztonsági konferencia. A konferencia ideje alatt ismét megrendezésre került (és éppen folyik) a "PWN to OWN" névre hallgató biztonsági "vetélkedő", amelynek során a jelentkezőnek Ubuntu 7.10, Mac OS X 10.5.2 és Microsoft Windows Vista SP1 operációs rendszert futtató laptop számítógépeket kell feltörniük a megnyerhető díjakért. A versenyt 3Com érdekeltségi körbe tartozó TippingPoint szponzorálja. A megnyerhető legmagasabb díj magából a feltört számítógépből plusz max. 20 000 amerikai dollárból áll.

A verseny napról napra egyre könnyebb. Az első napon a támadásokat távolról kell intézni a laptop-ok ellen. Ha bármelyik versenyzőnek sikerül behatolnia valamelyik rendszerbe és sikerül elolvasnia az ott elhelyezett szöveges file-t, viheti a laptop-ot és a 20K dollárt.
Ha az első napon nem jár senki sikerrel, akkor a második napon annyival egyszerűsödik a helyzet, hogy bármely, az operációs rendszerrel szállított alkalmazás hibáját ki lehet használni a behatoláshoz, de úgy, hogy felhasználói közreműködést is igénybe lehet venni. Azaz meg lehet kérni a gép "használóját", hogy az látogasson meg egy speciálisan preparált weboldalt, vagy nyisson meg egy e-mail-t. Siker esetén a laptop és 10 000 dollár a jutalom.
Ha a második nap sem hoz eredményt, akkor a harmadik napon már az operációs rendszeren futni képes 3rd party programokban található hibát is ki lehet használni. Ha valaki itt jár sikerrel, akkor viheti a gépet és még 5 000 dollár is üti a markát.

Tegnap lehetett távolról támadni a rendszereket, de a próbálkozások nem jártak sikerrel. Ez azt jelenti, hogy már "csak" 10K dollárt lehet nyerni.

Tavaly e verseny keretén belül Shane Macaulay-nek sikerült egy MacBook-hoz hozzáférnie egy 0day Safari bugon keresztül.

Részletek itt.

Hozzászólások

Hát - ahogy várható volt - a MacBook ismét "első lett" (két perc alatt ;) és valószínűleg újra egy Safari bugnak köszönhetően... ;)

Elvi lehetőség meglehetett volna az Ubuntu-ra is, mert volt a napokban "remote access"-t adó hiba az FF2-ben is. Igaz, ezt már javították. Persze nem publikus lehet ettől még. Ami nem mindegy, az a vendor reagálási ideje. Állítólag az Apple-nél még a Microsoft is gyorsabban javít:

Microsoft vs. Apple: Who patches 0-days faster?

"Researchers from the Swiss Federal Institute of Technology looked at how many times over the past six years the two vendors were able to have a patch available on the day a vulnerability became publicly known, which they call the 0-day patch rate.

They analyzed 658 vulnerabilities affecting Microsoft products and 738 affecting Apple. They looked at only high- and medium-risk bugs, according to the classification used by the National Vulnerability Database, said Stefan Frei, one of the researchers involved in the study.

What they found is that, contrary to popular belief that Apple makes more secure products, Apple lags behind in patching."

--
trey @ gépház

Dehogynem, csak ennek lehetősége fennállt mindegyik rendszerrel kapcsolatban. A különbség az, hogy (ki hinné ;) ezek a srácok sem hülyék és a saját kis muníciójukból szeretnek úgy puffogtatni, hogy a lehető legkevésbé értékeseket lőjjék el ilyen alkalmakkor. Az értéke egy exploitnak pedig függ attól, hogy milyen jellegű hibát használ ki, mennyi ilyen jellegű hiba van az adott rendszerben és ezeket a hibákat mennyire egyszerű vagy nehéz kihasználni. Tehát barátunk kiválasztotta a legkevésbé értékes exploitját és azzal nekiesett a legkönnyebben feltörhető rendszernek...

Azért a TippingPoint nem hülye, elég jól beárazta a sebezhetőségeket.

remote - 20K
remote (w/ user interact) - 10K
remote 3rd party - 5K

Kb. ennyit fizet amúgy is a Zero Day Initiative-en belül ezekért :) Ennyi a piaci ára, ha úgy vesszük, Miller árában adta el az 0day Safari exploitot és a bug infóit.

--
trey @ gépház

Van más cég, amelyik többet adna érte és ráadásul nem is értesítené az érintett fejlesztőcéget a hibáról, tehát a kecske is jóllakna és a káposzta is megmaradna. A remote exploitok ráadásul manapság eléggé megcsappantak, ezért az értékük is jóval nagyobb lett. Kihasználható kliens-oldali hibából viszont nagyságrendekkel több van és viszonylag nyomott a piaca (sokan keresnek ilyen jellegű hibákat), ezért könnyebben belefuthat két egymástól független kutató ugyanabba a hibába, tehát ráadásul rövidebb az életciklusuk is ezeknek az exploitoknak (ha nem te találod meg és adod el elsőként, hanem más, akkor már nem kapsz érte sok mindent), ezért itt kiválló alkalom volt elsütni egy ilyen exploitot, mert biztosan megkapja érte a pénzét (még ha ilyen berkekben ez már ismert hiba is volt) és még ráadásul hírnévre is tesz szert.