Pwn2Own 2017 - videóösszefoglalók

 ( trey | 2017. március 19., vasárnap - 12:12 )


1. nap - Részletek itt


2. nap - Részletek itt


3. nap - Részletek itt

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az eredményeket látva a Microsoft (használhatatlan) Edge böngészőjének biztonságáról szóló áradozásai jobb esetben mítoszok, rossz esetben hazugságok. Meg úgy a Windows biztonságának hiperszupersége a többihez képest. Ugyanaz a fos.

--
trey @ gépház

és ez még csak a pár tíz k $-os publikus kategória, durva

Remélem az Ubuntu töréséről is tartogatsz néhány remek gondolatot... ;)

Ahelyett majd lesz egy hir az uj OxygenOS patch-rol :) Egyebkent az is vicces, hogy pl. trez szerint a biztonsag fekete-feher, azaz valami vagy fos vagy nem (ha igy gondolkozunk, akkor minden OS egyen-fos).

----------------------
while (!sleep) sheep++;

Egy OxygenOS patch-ről lehet írni mert van és olyan hibát javít ami miatt kimarad az ilyen találkozókról :D

Milyen gaz mar, hogy egy szoftvert folyamatosan karban tartanak. Mennyivel kenyelmesebb, amikor eveken keresztul a gyarbol kikerult stock firmware van rajta, ami olyan lyukas mint az ementali.

Ja, nem, itt azt mondták, hogy a Linux az szar, de a Windows az valami nagy csuda! Meg a Microsoft, amikor adspam op. rendszerében pop-up-okkal reklámozza a szipi-szupi, hiperbiztonságos Edge böngészőt. A nyomorvalóság ezzel szemben az, hogy úgy törik rommá, ahogy nem szégyellik.

--
trey @ gépház

Ez csak a te nyomorvalóságod. Aki ért hozzá az látja a minőségi és mennyiségi különbséget. Míg régebben elég volt egyetlen triviális memória korrupciós hiba és pár óra exploit fejlesztési idő a hosztok kompromitálásához, addig most már nem elég fuzzolni egy ilyen hibát és kihasználni, hanem 6-7 különböző biztonsági hibát kell kombinálni ahhoz, hogy sikerüljön a támadás. Ráadásul már logikai hibát is kell keresni manuális auditálással, amit nem lehet automatizálni. A sandbox kitörésekhez kernel hibákat kell használni, nem elég csak a böngészőt megtörni. Úgyhogy a koncepció működik, rengeteg időbe kerül egy ilyen támadás kivitelezése jelenleg. Emelkednek az offenzív oldal költségei, ez pedig a deffenzív oldalnak kedvez.

Ja, az én nyomorúságom, hogy "egyre biztonságosabb" a szét"telemetriázott" adspam rendszer. Amire ugyan egyre nehezebb bejutnia (állítólag) a többi spammernek, nehogy a Microsoft saját spamjeinek vetélytársa legyen.

Kérdezted az Ubuntu-t. Egy nyamvadt local exploitot sikerült felmutatni desktop oldalon. Ilyenből gyakorlatilag az összes Windows kísérletnél volt.

Szerver oldalon:

"Additionally, the Pwn2Own 2017 event also listed Apache Web Server running on Ubuntu 16.10 Linux as a potential target, with a prize of $200,000 for a successful exploit. Dustin Childs, director of communication for ZDI, told eWEEK that no one has registered to point at the Apache/Ubuntu target."

:( Biztos kevés volt a felajánlott 2 kiló.

--
trey @ gépház

Az egy egesz mas target, nem tudom, h feltunt-e. (Webszerver vs browser.)

De _nyilvan_ az egesz security szakma verhulye, es a blogokon meg konferenciakon leirt dolgok mind fizetett MS trolloktol vannak, mint pl. Spengler. Szerencsere trezt nem fizeti senki az MS.

----------------------
while (!sleep) sheep++;

Mit szerettél volna mondani? Mert ez ez egész egy kicsit kaotikusra és eléggé konkrétumokat mellőzőre sikeredett :D Bár szalmabáb az volt benne bőven.

--
trey @ gépház

Akkor segítek: ha ez alapján hasonlítod össze ("szar az edge, mert feltörték, bezzeg az apache, pedig arra több pénz volt"), akkor böngéssz apache-csal.

Lehet megfontolom, mert az Edge az böngészésre jelen állapotában alkalmatlan.

--
trey @ gépház

Akkor most egy pillanatra mélázzunk el a feltört php-s weboldalakon.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

ne etesd

Nagyszerűek ezek a mondások, sok a konkrétum bennük. A félbolond security cirkuszosok még mindig ott tartanak, hogy "jáj, lo(c)ál rootos", amikor a támadók már rég szarnak bele a root-ba, mert az user számára elérhető (és egyébként legfontosabb) fájlokat ejtik túszul. Jó reggelt (vagy a későn ébredőknek inkább délutánt) kívánok:

Ransomware: egy év alatt egy milliárd dollár

--
trey @ gépház

azért valahol becsülendő, hogy még ki mersz jönni (újra) a szokásos gyermeteg m$-ajvékolásaiddal azután, hogy nem is olyan rég a mikroszoftos emberek is a fejüket fogták az elvtelen vergődéseden

Hogy egy microsoftos ember miért fogta a fejét egy HUP tulajdonviszonyát boncolgató kérdésben, annak annyi köze van a témához, mint amennyi szülői értekezlet van egy árvaházban.

Valami a témához ezúttal?

--
trey @ gépház

>szülői értekezlet van egy árvaházban

vagy - hogy ontopic hasonlat legyen - az apacsi és edgy halmazok metszete, mint már itt többen próbáltak neked rámutatni (foganat nélkül)

>Valami a témához ezúttal?

semmi, Gábor, megint nyertél!

Szerencsére, csak a te fejedben volt metszete. Majd fuss át rajta még egyszer és ne más értelmezésének dőlj be.

--
trey @ gépház

Mivel nem értesz hozzá, ezért segítek: nem a local root a lényeg, hanem hogy olyan kernel hiba van mögötte, amelynek köszönhetően ki lehet törni a Chrome (és más Seccomp-BPF alapú) sandboxból, az LXC és Docker (és más chroot/namespaces-alapú) konténerekből és kikapcsolhatók az SELinux, AppArmor, Tomoyo (és más LSM alapú) védelmek...

Hunger, ha felsorolsz sok terméknevet, attól nem látszik ám a mondandód tudományosabbnak. Csak FYI, a ransomware-ek - amire válaszoltál - szarnak ezekre. User joggal futó scriptek és binárisok azok, amik a legnagyobb veszélyt jelentik jelenleg a felhasználókra, a biztonsági "szopjuk fel egymást" konferencia meg még mindig ott tart, hogy 97 csillió exploiton keresztül hogyan lehet system / root jogot szerezni.

Ennek is megvan a piaca, de jobb lenne, ha az erőfeszítéseiket olyan dolgokra összpontosítanák, amik a végfelhasználókat valóban érintik.

Nem, ez nem a 99 összefűzött exploitlánc, ami - a te is megállapítottál - dollárcsilliárdokba kerül. Hanem az egyszerű levélmellékletként küldött ransomware-ek.

Érdekes módon ezekről sok szó nem esik. Ja, ezzel nem lehet annyira villogni.

--
trey @ gépház

Ha meg darabokra verem a gepedet egy kalapaccsal, akkor meg annyi erofeszites se kellene, mint egy ransomware-hez. A pwn2own nem egy ezzel foglalkozo konferencia / rendezveny. Amirol beszelsz, abszolute irrelevans.

Ilyen ez a világ, különböző képességekkel rendelkezünk. Van akinek a böngészőt is nehéz megkülönböztetni a HTTP szervertől és a HTTP szervert a webszervertől, vannak olyanok akik a ransomware ellen nem tudnak védekezni és van olyan akinek ezek nem jelentenek problémát és az APT támadásokkal foglalkozik... ;)

Nem tudom, nekem elég sok infó tartalma volt, pont a terméknevek miatt.

A ransomware technológiai szempontból kb. az "ellopom az autód, de visszavásárolhatod" szint. Nem kell hozzá nagy ész (bár alapvető programozási jártasság nem árt, mint a könnyen törhető korai ransomware-eknél látható volt), mert a célcsoport (képzetlen felhasználók) könnyű célpont. Ettől még probléma (senki se szereti, ha ellopják az autóját, sok kárt okoz), de technológiai szempontból nincs benne kihívás.

A pwn2own nem ezekre a problémákra szakosodott, hanem az olyan komplex támadásokra, amelyekkel észrevétlenül lehet izolációs határokon (VM, konténer, kernel, browser) mozogni. Ezek a megoldások, bár lehet, hogy az átlag user ma még nem találkozik velük, de ha nincsenek bezárva, akkor záros határidőn belül fog, mert "common knowledge" lesz, és nem csak az állami szolgálatok fogják használni, hanem különböző malware toolkitek segítségével az egységsugarú scriptkiddie is.

Azt se feledjük el, ha pl. a Vmware törés "felelős tájékoztatás" mellett csendben csak a VMware felé történik meg (az MS-ről nem is beszélve az Edge és Win10 bugok miatt), ők simán ülhetnek rajta hónapokat, míg most legalábbis előre ugrott a prioritási sorban a probléma. Sajnos, mint gyakran látjuk akár a Linux kernelnél is, ha a "nem security circus tag" fejlesztő nincs rászorítva, akkor a biztonság téma ritkán jön elő.

Érdemes végigkövetni, hogy pl. az iOS biztonsága hogyan fejlődött az idők során. Ha nincs a Jailbreak community miatt a folyamatos versenyfutás, akkor szerinted belekerültek volna a ma már természetesnek tűnő extra védelmi rétegek?

Jé, egy szoftvert meg lehet törni? Ki gondolta volna!

www.brokenbrowser.com -ot olvasgatva inkább az az érzése az embernek hogy csúnyán le van maradva.

Viszont szerintem önálló hírértéke is van ennek:
https://latesthackingnews.com/2017/03/18/hackers-make-105k-vm-escape-pwn2own/

Itt ugyanis VMware Workstationből tudtak kitörni, márpedig a VM-to-host sebezhetőségek nem túl gyakoriak. Egyelőre még nincs részletes info, hogy pontosan milyen virtuális periféria backendjében találták a hibát, de nem elhanyagolható eséllyel ESXi-vel közös kódbázisban -> elég széles kört érinthet.

---
Régóta vágyok én, az androidok mezonkincsére már!