Az első hírek szerint állva maradt a Chrome OS a Pwnium-on

 ( trey | 2013. március 8., péntek - 9:56 )

Pwnium 3

A Google egy rakás pénzt (3,14159 - vagyis pi millió dollárt) ajánlott fel azoknak a versenyzőknek, akik sikeresen legyűrik a Chrome OS-t a Pwnium 3 biztonsági vetélkedőn. A Pwnium 3-ra a kanadai CanSecWest rendezvényen került sor tegnap. A friss Twitter üzenetek szerint nem sikerült senkinek sem teljes díjat nyernie. A Google Chrome csapat kiértékeli az eredményeket és lehetséges, hogy a részeredményeket jutalmazza. Hivatalos bejelentés még nincs, további (pontosabb) részletek később.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Grat, bár gyanítom, ez a későbbiekben változni fog és csak a teljesen új környezetnek tudható be. Attól függetlenül sikernek siker :) még ha kicsit savanyú is :-D

----------------
http://infszabopeter.blogspot.com

Milyen teljesen új környezetnek?

--
trey @ gépház

Szerintem erre gondol. Amúgy elég szánalmas a Googl€.

Felmerült bennem a kérdés, hogy miért fizetne (márpedig rendszeresen fizet) a Google a biztonsági szakértőknek jutalmat egy-egy hiba bejelentéséért, ha csak annyit kellene csinálnia, hogy rendszeresen "új környezet"-et kellene előállítania, hogy a régi exploitok ne működjenek.

Csuda szakemberek dolgoznak ott, hogy egy 0day-t hipp-hopp kijavítanak a -1. napon!

--
trey @ gépház

Önmagában azzal, hogy a lehető leggyorsabban javítanak egy biztonsági hibát persze nincs probléma. Csakhogy itt nem erről van szó. Nyilván van valamekkora matematikai valószínűsége annak, hogy az új verzió teljesen véletlenül (tehát nem szándékosan) mindig néhány nappal a verseny előtt jön ki. Ha tudnánk hogy átlagosan milyen gyakran jön ki új verzió ezt ki is tudnánk számolni. Mivel ez két év alatt már a második eset, valószínűleg elég kis valószínűség jönne ki. Tehát megalapozottan feltételezhetjük, hogy ezt szándékosan csinálják, ami természetesen szánalmas.

vagy az van, hogy direkt raknak bele hibákat (mint mondjuk BSZ szigorlaton a kidolgozott tételbe, mert ha az hibátlan, akkor jön az NP-teljes kérdés, aztán jöhetsz újra) és azt verseny előtt gyorsan javítják, vagy feltörik a támadók gépeit és megszerzik az exploitokat, majd a verseny előtt javított kiadást adnak ki, vagy totál semmi köze az egésznek ehhez..

Igazából az lenne a fasza, ha csak keddenként javítana!

Bizonyítékod nincs, max. sejtésed. Még ha úgy is van, ahogy mondod, akkor is két dolog van a mérleg serpenyőjében: az egyik oldalon a szemét Google, ami "széjjeltrollkodik egy 'komoly' versenyt" elbaszva ezzel néhány élet nélküli szerencsétlen játékát, a másik oldalon meg egy felhasználók millióiért felelős cég, aki mielőbb kitolja az ajtón a javítást és nem vár egy hónap múlva keddig, de még másnapig sem.

Ha választanom kell, akkor beleszarok a versenybe.

--
trey @ gépház

tök "életszerű" dolog lenne naponta változtatni csak annyit, hogy a program másképpen "feküdjön be" a memóriába. komolyan nem értem, hogyan merült fel benned, bár gondolom csak irónia. ezzel a gyakorlattal csak ~takargatni lehetne azokat a lágy pontokat amelyeket egyébként ki kellene gyomlálni. ez pedig csodásan hangzik, hiszen szó nincsen arról, hogy egy 0day sebezhetőséget javítottak.

otthon is fasza lenne úgy takarítani, hogy a koszra ráhúznád a szőnyeget, majd legközelebb egy másik bejárat felől belépve az aktuális a nézőponthoz igazítanád új helyre és így tovább. természetesen törekedve arra, hogy a vendégeid érkezéséhez igazítsd az egészet. az első olyan esetben amikor erre fény derülne, nyilvánvalóvá válna, hogy szemétdombon élsz.

de mindegy különben, nekem tényleg 8 - csak fura, hogy ennyire nehezen érthető meg a dolog.

--
Vége a dalnak, háború lesz...

"tök "életszerű" dolog lenne naponta változtatni csak annyit, hogy a program másképpen "feküdjön be" a memóriába"

ASLR? :)

A Google kiadott egy Chrome böngésző frissítést a Pwn2Own előtt. Rommátörték. Magyarul lófaszt sem ért a Google mesteri terve. A kérdések:

- van arról tudomásod, hogy a Chrome mellett a Chrome OS-t is frissítették (ha nincs, akkor csak feltételezel?)
- ha frissítettek is, fentebb láttuk, hogy attól még rommá lehetett volna törni. valami igazi Google-hater magyarázat arra, hogy mégis túlélte?

--
trey @ gépház

Gábor.

feltételes módban (feltevés) írtál pár mondatnyi tömény iróniát megtoldva pár deka szarkazmussal. erre válaszoltam, hasonló HA feltevéssel (lsd. lenne, lehetne, kellene, ráhúznád, igazítanád, fény derülne, válna). második kérdésedre tehát a válasz már a kérdésben ott van, illetve magában az általam reagált "eredeti" ötletedben is.

azt viszont jól látod (nem volt nehéz dolgod), hogy a böngészős szarságot ide kevertem, nem véletlenül. kicsi áthallással hadd maradjak ezen a ponton, hiszen pl. a MS mesterien tette, hogy nem piszkált semmit. a böngészőjük most ugyanannyira törhető sportszerűtlen trükközés nélkül, mint a Google esetén trükközéssel. ergo a Google láthatólag ezt elbaszarintotta (hangsúlyozom: böngészőről beszélek, más esetre a nyitó mondatomat gondolnám ide is). a bevezetésed ~lófaszt sem ért kijelentését én így tudom olvasni. szóval elég sokat ért, csak láthatólag nem a Google számára.

a Google hater felkérést nem értem miért nekem dobod, én pont annyira vagyok (legalábbis remélem) jócég-hater, mint M$-hater. viszont szemet szúr, hogy a főoldalon Win8 bukás, hozzászólásokban ~szar Win7 / Win8 bűz árad, mellékvágányokról és lesajnálásról nem beszélve. miközben nem _akarod_ megérteni amit többen felvetnek (ismét csak) egyszerű böngésző & Google purger témában sem. nyilván oka van ennek a nem akarásnak is, de hadd ne keverjem ide ezen a békés estén. ha szeretnéd majd jelzed és tőlem folytathatjuk, bár szívem szerint egy percet nem szánnék rá.

mindenféle személyeskedést megelőzendő ne keress szarkazmust, iróniát, rosszindulatot, kötekedést, okoskodást abban amit írtam.

--
Vége a dalnak, háború lesz...

Összefoglalom. Mellébeszéd. A két kérdésre válaszolj, ha szeretnél további választ. Ha azokra nincs érdemi, akkor részemről vége a szálnak.

--
trey @ gépház

veled tenyleg nehez mar beszelgetni, lassan beallok a sorba azokhoz akik keves ertelmet latnak benne. remelem azert semmi komoly problemad sincs.

osszefoglalom en is, az elso kerdesedre valaszt adtam, a masodik kerdessel pedig rendesen mellelottel nalam. sot egyebeket is leirtam, de ha tenyleg zavaros akkor 3 mondatban szivesen osszefoglalom.

egyebkent a kerdeseidet sem az altalad felvetett faszsag sem en kontram nem tudja bevezetni. ennyi erovel kerdezhetsz a gmail-rol vagy hasonlorol is.

ekezetert bocs: telefon & 3"

--
Vége a dalnak, háború lesz...

Zavaros, ahogy az írásaid általában. Ha megtennéd, hogy összefoglalod valóban csak a lényeget a két kérdésemre, azt megköszönöm.

--
trey @ gépház

Mert attól a hiba hiba marad és ugyanúgy benne van. Attól, hogy egy falon mindig más téglát ütsz ki, attól még lyukas marad a fal.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

És a Google, ami eddig is egy valag pénzt fizetett ki a megtalált súlyos hibákért (ami után egyébként villámgyorsan foltozta is termékét) úgy dönt, hogy elüti magától a lehetőséget, hogy termékében egy súlyos hibák kijavítson.

Nem tudom, hogy mivel nyer/veszít többet: ha megnyer egy versenyt - az elmélet szerint azzal, hogy direkt kiad egy frissítést a verseny előtt (amit egyébként semmilyen szabály sem tilt, így nem is értem a rinyálást), vagy azzal, hogy pár nap múlva telekürtölik a netet azzal, hogy a világszám győztes Chrome-ban súlyos hiba van.

Ha ezt megkockáztatják, akkor hülyék. Én nem hiszem, hogy ennyire hülyék lennének.

--
trey @ gépház

Legalabb magaddal legyel oszinte, mikor nem arrol irsz, hogy mekkora csunyasagot javitott a Google, hanem arrol, hogy de allva maradt.

A rinyalas eppen aktualis targya meg az, hogy az nagyszeru, hogy javitotta a Google, csak ettol meg nem lesz hibamentes a Chrome, csak az egyszeru joember szamara ugy tunik a hirek alapjan. Na ez egy olyan marketingelony, ami nem jogos a Google reszere.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

>nem arrol irsz, hogy mekkora csunyasagot javitott a Google, hanem arrol, hogy de allva maradt.
Hihetetlen, hogy egy versenynek leírja az eredményét és nem sző összeesküvés elméleteket mögé.

Fogalmam sincs, hogy a Google javított-e valamit a Chrome OS-ben a verseny előtt. Sajnos nem tudtam ilyet leírni, mivel erről semmilyen információt sem találtam a cikk írásának pillanatában. Ha neked van róla információd (persze ha van is, könnyű órákkal később ugatni róla), akkor mutasd.

Fentebb is elhangzott a kérdés, de válasz - Egri csillagok hosszúságú semmithajtáson kívül - érdemben nem érkezett rá.

Szóval még egyszer a kérdés: adott ki a Google a Pwnium előtt közvetlenül új verziójú Chrome OS-t? Mert ugyebár itt arról van szó.

--
trey @ gépház

Olvastam abban a szálban is. Már ott hülyeség volt.


"Belépés díjtalan, kilépés bizonytalan."

Érvek? :)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Köszi, de nincs időm fölösleges szájtépésre. Már ott sem volt. Az egyszerűbb megoldás mindenkinek, ne higgyetek nekem, röhögjetek egy jót és legyetek biztosak abban, hogy tökéletesen igazat írt. Nekem nem fáj és ha nektek a sötétben dagonyázás jobban tetszik, én nem vagyok ellene.


"Belépés díjtalan, kilépés bizonytalan."

Ja ertem, erre van idod, egy egy mondatos ervelesre nincs. Koszonom, kb. ennek megfeleloen kezelem a kinyilatkoztatasod.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Helyes. Egy mondatos érvelés. Viccelsz? Ja, igen.


"Belépés díjtalan, kilépés bizonytalan."

Semminél az is több.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

A böngészőfejlesztőknek tilos felkészülni?
Amikor egy szoftvert auditálnak, a tesztelők/fejlesztők ott is nekifekszenek a dolognak. Inkább az a mókás, hogy mások nem élnek ezzel a lehetőséggel.

Ennyire nem lehet bonyolult a keplet. :) Senkinek sincs azzal baja, h ha hibat javivanak, fejlesztenek, whatever. A problema a marketing fogassal van baj, ami alapjan minden hirben az figyel, h "Bezzeg a chrome, azt nem tudtak megtorni". Mikozben a loturot, semmilyen hibajavitas nem tortent, csak a behatolasi vektor valtozott meg atmenetileg. Amivel meg mindig nem lenne semmi problema, ha ezzel nem ringatnak szandekosan a felhasznaloikat hamis biztonsagerzetbe a jobb sajto kedveert.

---
pontscho / fresh!mindworkz

Vagy csak te komplikálod túl az ideológiát. Felkészülhetett rá mindenki...?

FYI a marketing nem ott van, hogy egy ilyen eseményen mi az eredmény, hanem pl olyanokban, hogy fizetnek a bejelentett hibákért, meg hogy nem félév múltán reagálnak, amikor a PoC "kiszivárog". Ha egy lényegesen más szoftvert adnának oda, mint amit használ az istenadta nép, akkor még lehetne is hőbörögni, meg asztalt borogatni.

Vagy inkabb te nem ismered az atlagfelhasznalo eszjarasat.

Fizetnek a hibakert? -> hiba van benne!
Megallta a helyet a versenyen? -> fasza.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ja, monták a tévébe...

"hogy mások nem élnek ezzel a lehetőséggel"

Dehogynem! Mindenki a saját vérmérséklete / szokásai szerint:

Microsoft Patches IE for 14 Vulnerabilities ahead of Pwn2Own 2013

--
trey @ gépház

Ó, a szemetek! :)

Ez nettó hazugság, hisz házi szakértőnk véleménye:

'A "többi böngészőgyártó" (== Microsoft) nem fog ilyen övön aluli húzásokkal operálni egy Pwn2Own verseny miatt.'


"Belépés díjtalan, kilépés bizonytalan."

Apró különbség, hogy az IE 3 héttel az esemény előtt kapott új verziót, a Chrome pedig mindössze 2 nappal előtte.

Úgy érted, az IE frissítése után a többieknek már nem etikus frissítést kiadni a verseny előtt, mert akkor az már "övön aluli"?

Megpatchelni létező hibákat != beletúrni (az egyébként nem változott) binárisba, hogy megváltozzon a támadási vektor.

szerk: egyébként leszarom, hogy melyik böngészőgyártó mit csinál, nem nézek emiatt rossz szemmel a google-re

Te egyébként honnan tudod, hogy a Microsoft mibe túr bele egy-egy bulletin kiadásakor? Csak azért kérdezem, mert úgy beszélsz, mintha látnád az IE forráskód tárolóját minden egyes elkövetett commit-tel.

--
trey @ gépház

Ha rosszul tudom, akkor javíts ki, de MS-éknél 14 darab, már dokumentált, létező sebezhetőséget javítottak ki, a Google-nél pedig megkeverték a kódot, hogy új környezetet teremtsenek. Nem ugyanazt jelenti a kettő.

De nem vagyok MS-hívő; ha rosszul tudom, van ilyen, bocs.

Tudnál valami forrást adni ezekre az állításokra?

--
trey @ gépház

.

A mondat amire válaszoltam az időpontok különbségéről szólt, nem a frissítések tartalmáról. A válaszom is.

Úgy értem, ha az IE frissítés olyan hibát javít, amit egy versenyző ki akart használni, akkor persze javul az IE esélye, de legalább ki is lett javítva a hiba, a felhasználók jól jártak. Ha viszont ilyen hibát nem javítottak, 3 hét bőven elég arra, hogy az exploitot felkészítse a fejlesztője az új binárisra. Vagyis ebben az esetben nem javulnak jelentősen az IE esélyei, ha javítatlan hiba maradt benne, azt a hiba felfedezője ki is fogja tudni használni a versenyen.

Mert akkor volt patch kedd. Ha figyelembe vesszük, hogy egy ilyen versenyre mennyi ideig készülnek fel, azt is fel lehetne fogni úgy, hogy beleszartak a levesbe.

A Microsoft keddenként frissít. A hónap második keddjén. Nem tér el ettől, kivéve rendkívül indokolt esetben (pl. 0day exploit van kinn szabadon). Nem azért, mert olyan fair play játékos. BTW: a Pwn2Own sebezhetőséget sem javította még, majd (val.szeg) holnap fogja.

A Google rendszeresen patchel. Szinte folyamatosan. Nem csak akkor, amikor a naptár megkívánja.

BTW. az, hogy a Microsoft kitolt az ajtón javítást 14 különböző sebezhetőségre (és nem nagyon nevezte meg, hogy mit is javított), mégiscsak azt jelzi, hogy készültek az eseményre.

--
trey @ gépház

Ha a verseny előtt 2 nappal lenne patch kedd, a Microsoft részéről sem lenne etikus, ha akkor tolna ki egy IE frissítést. Nyilván a verseny időpontja úgy lett megválasztva, hogy ne patch kedd utánra essen.

Engem nem zavar, ha a gyártók készülnek a versenyre, ha a Gogle legalább 1 héttel a verseny előtt frissített volna, egy szavam nem lenne.

Szerintem meg sokkal fontosabb, hogy a napvilágra került hibákat ki milyen gyorsan javítja. Erről érdekes módon nem nagyon beszélünk.

--
trey @ gépház

Küldj be róla hírt. :)

Ja, hogy ez már kellemetlenül érint és inkább elütöd egy viccel. Kár, pedig ez a Pwn2Own inkább egy marketing szagú vetélkedő (a HP / ZDI szponzorálta, Tippingpoint termék elé rakott show, felhajtás), aminek te látszólag (és mások is) nagyobb jelentőséget tulajdonítotok, mint annak, hogy egy cég felhasználói millióit időben, gyorsan kiszolgálja a megfelelő biztonsági javításokkal.

--
trey @ gépház

Miért érintene kellemetlenül? Egyik cég sem fizet nekem.

Ha tényleg nagyobb jelentőséget tulajdonítanak egyesek ennek a versenynek szerinted, mint amennyit megérdemel, akkor miért küldtél be róla 3 nap alatt 3 hírt? :)

Csak a flame miatt. ;) Látod milyen "hálás" téma.

--
trey @ gépház

Attól, hogy te (szokás szerint) hozzáértés nélkül pofázol bele a témába még nem a másik lesz a hülye... HTH

Tudtommal 1 éven keresztül lehet készülni a versenyre.

-

Lófasz és estifény. Akik azon vitatkoznak, melyik multi a kevésbé geci azok nem normálisak. Bocs.