Charlie Miller interjú az idei Pwn2Own verseny előtt

Titkosítás, biztonság, privát szféra

Idén is megrendezésre kerül a CansecWest konferencia keretében a Pwn2Own verseny. Minden évben nagy értékű díjakkal jutalmazzák azokat a biztonsági szakértőket, akik kihasználható sebezhetőségeket találnak népszerű operációs rendszerekben, böngészőkben és mobil platformokban.

A oneitsecurity.it weboldal interjút készített az elmúlt két évben sikerrel szereplő Charlie Millerrel, aki korábban elsőként törte fel az iPhone és Android mobil platformokat is. Részlet az interjúból:

"Az elmúlt két évben a Mac OS X-en futó Safari feltörésével nyerted meg a versenyt. Idén is a Safari és a Mac lesz a célpontod?"

"Jelenleg mindegyik rendszer a célpontom. Örülnék ha az egyik mobilplatformot törhetném fel, de valószínűleg ismét a Safarira fogok utazni. Én törtem fel elsőként az iPhone-t és az Androidot, így ezen a két rendszeren vagyok ismerős, de ezeket nehezebb is feltörni. Idén platformonként egy valaki nyerhet, ezért a legnehezebb az lesz, hogy megakadályozzam hogy valaki más megelőzzön."

"Windows 7 vagy Snow Leopard? Melyik rendszert lesz nehezebb feltörni és miért?"

"A Windows 7 egy kicsit nehezebb, mivel teljesértékű ASLR-el (Address Space Layout Randomization) rendelkezik, ezen kívül kisebb a támadható felület, mert az alaptelepítésben nincs se Java, se Flash. A Windows korábban sokkal nehezebb volt a teljes ASLR és DEP (Data Execution Prevention) miatt, de a legutóbbi Black Hat konferencián bemutatták, hogyan lehet ezeket megkerülni egy Windowsos böngésző segítségével"

"Idén sincs nyoma a versenyen a Linuxnak. Ennyivel nehezebb fogást találni rajta, vagy egy nem kereskedelmi operációs rendszer nem érdekes a sebezhetőséget keresőknek?"

"Nem, a Linux egyáltalán nem nehezebb, valójában valószínűleg könnyebb, bár ez a használt Linux disztribúciótól függ. A rendezők egyrészt azért nem választottak Linuxot, mert nem elterjedt asztali rendszer, másrészt azért mert a sebezhetőségek a böngészőkben találhatók és általában azok a böngészők, amik Linuxon futnak, Windowson is megtalálhatók"

"A véleményed szerint melyik operációs rendszer és böngésző kombináció használata biztonságosabb?"

"Ez jó kérdés. Chrome vagy Internet Explorer 8, Flash telepítése nélkül. Valószínűleg nincs túl nagy különbség a böngészők között, az a fontos, hogy a Flash ne legyen telepítve!"

"A mobil oldalról nézve a két nagy célpont az iPhone 3GS/iPhone OS és a Motorola Droid/Android lesz. Melyiket lesz könnyebb feltörni?"

"Mindkettő egész biztonságos. Az iPhone-ra tippelnék, mivel régebb óta van piacon és többet foglalkoztak vele. Tehát nem arról van szó, hogy az kevésbé biztonságos, inkább csak többet foglalkoztak vele a kutatók és jobban ismerik, hogyan működik."

Az interjú további részében Charlie beszél a játékkonzolokról, munkamódszereiről és a Microsoft fejlesztés alatt álló mobilplatformjáról, a Windows Phone 7-ről is. A teljes cikk elolvasható itt.

( grudi | 2010. 03. 02., k – 11:39 )

IE8? Tényleg ennyire biztonság lenne?
Azt tudtam eddig is a Firefoxról, hogy a legtöbb sebezhetőséggel rendelkezik, úgyhogy nem is azt vártam válasznak, de mondjuk mi van az Operával? Állítólag ebben találták a legkevesebb sebezhetőséget...

1 dolog van amit a linuxosok nem vesznek már jó ideje észre: HIába van az, hogy opensource, meg minden, amíg Linus atya-úr-sátán baxik a security-re nagy ívben, és képtelen úgy írni kódot ( mondjuk ez más fejlesztőkre is ugyan úgy érvényes ), hogy esetleg a kódjuk más security megoldások mellett is szépen működjön, addig az egész linux-security mehet a kukába. Az, hogy a rendszer személyre szabható, meg hasonlók persze még lehet indok, de itt a standard kernelről beszélünk amit a disztrókhoz adnak, az meg hiába tartalmaz egy csomó disztró-patchet, attól még a security-hez qrva keveset adnak hozzá. Innentől meg a linux security-t ( default beállítások melett és külön hegesztés nélkül ) tényleg max csak a viccekben lehet emlegetni..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

"fura modon">fura módon van "eleg rendesen" megírva az IE8, ha a gyorsítás kikapcsolása gyorsít.

de vicces a hivatkozás: 3 éve (vagy 2?), mikor az Ubuntut nem tudták megtörni, akkor is volt ilyen hivatkozás, mármint hogy érdektelenség miatt nem törték. de az mindenesetre igaz, hogy akkor a maihoz képest még kisebb volt a júzerek tábora, mégis odarakták a vista és az os x mellé.

és flash nélküli web jelenleg... hahaha! akkor már inkább FF+NoScript+FlashBlock.

( ricsipontaz | 2010. 03. 02., k – 13:08 )

Ezt a Linuxos részt kicsit jobban is kifejthette volna, mert ez így ebben a pár sorban elég ellentmondásos:

"Nem, a Linux egyáltalán nem nehezebb, valójában valószínűleg könnyebb"

"a sebezhetőségek a böngészőkben találhatók és általában azok a böngészők, amik Linuxon futnak, Windowson is megtalálhatók"

Akkor miért is könnyebb a Linux? (nem trollkodás, pusztán nem értem a magyarázatát)

--------------------
http://ricsipontaz.hogyan.org --- http://fullcircle.hu

"Ezt a Linuxos részt kicsit jobban is kifejthette volna, mert ez így ebben a pár sorban elég ellentmondásos"

Nem, csak el kell olvasni. A lényeg: a Firefox jóval kevésbé biztonságos Linuxon mint Windows 7-en, lévén utóbbiban vannak biztonsági megoldások (ASLR), a Linuxban meg nincsenek.

Az csak annyit jelent, hogy az adott exploit-ot win-re írták meg.. Nagyon durva önámítás, ha azt hiszed, hogy ugyan azt a hibát linux alatt ne lehetne életre kelteni...
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Na azért álljon meg a nászmenet könyörgöm :) Ne mossunk már össze egy win-only bugreportot, meg egy winre írt exploitot már kérem :) Tiszta rovar-bogár eset...
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Tekintve, hogy emlékeim szerint buffer overflow-ról szól a játékos, így én ezt a lehetőséget nagyon nem zárnám ki, tekintve, hogy overflow esetén nincs megkötés, hogy Win/Linux/OSX specifikus kódot akarsz e futtatni :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Egy marginális desktop penetrációval rendelkező OS-be szándékosan gyenge implementációt raktak be. Charlie Miller már most is könnyebben törhetőnek mondja a Linux gyenge biztonsági mechanizmusát a Windows 7-nél. Ezek a tények. Egy ilyen "biztonsági" "megoldás" leginkább nem létező, ne kergessük magunkat lila ábrándokba.

Ami a kod reszt illeti (PaX):
"
The analysis checks to see if the entry into the binary image was legitimate or caused by a ret-to-libc style attack. If it was legitimate, execution is redirected into the randomized mirror; otherwise, the application is killed.

RANDEXEC can cause false positives in certain applications. Also since it does not randomize data in the binary, it is not a replacement for ET_DYN. RANDEXEC was developed merely as a proof of concept.
"

Nem tunik tul gyors megoldanak, de false positiv miatt meghalhatnak regi binarisok.

szerk:
Mint ahogy lahato pie kod eseten, a code resz is szepen randomizalodik mezei Linuxon:
http://hup.pastebin.com/4j6aaj6R

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

vdso neven igen.
Ezen vsyscall -on mas van (3 egyeb (pl. gettimeofday) hivashoz vannak segedek), de ha jol sejtem regen a vsyscall-nak volt hasonlo szerepe, mint a vdso-nak.
glibc es kernel kodjat olvasgatnam, ha nem kene most rohannom.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( noveria | 2010. 03. 02., k – 14:10 )

"Én törtem fel elsőként az iPhone-t és az Androidot, így ezen a két rendszeren vagyok ismerős, de ezeket nehezebb is feltörni"

"Nem, a Linux egyáltalán nem nehezebb, valójában valószínűleg könnyebb ... nem elterjedt asztali rendszer"

"melyik operációs rendszer és böngésző kombináció használata biztonságosabb? - Chrome vagy Internet Explorer 8."

Charlie-t eddig piedesztálra emelte a HUP kommuna, de most hogy szemét áruló Ap$le-M$ bérenc lett, mi lesz vele? :P

Charlie Miller már bebizonyította több ízben, hogy a Mac OS X biztonság (hogy mi?) vicc. A többiről eddig még csak beszélt, de a bizonyítás elmaradt a mai napig. Put up or shut up, hangzik a mondás. Amikor lehetősége lett volna, akkor sem azt választotta.

--
trey @ gépház

http://buhera.blog.hu/2009/04/09/dino_a_dai_zovi_interju_ii

"A Windowst használó olvasóink számára milyen tippekkel tudsz szolgálnia rendszer biztonságosabb tétele tekintetében? Mi a helyzet a Linux-szal és a Mac-kel?

A PC-s [valójában persze Windows-is] felhasználóknak át kell térniük Vistára vagy Windows 7-re amilyen hamar csak lehet, hogy kihasználhassák ezek biztonsági lehetőségeit. A Mac-esekre ugyanez igaz Snow Leoparddal. A Linux felhasználók már így is elég jól el vannak látva a vezető disztrókon keresztül, tehát nekik nem igazán kell tenniük semmilyen elővigyázatossági lépést. Ezen operációs rendszerek mindegyikéhez a NSA és a SNAC ingyenes, részletekbe menű konfigurációs útmutatókat bocsát rendelkezésre, melyeket jól lehet használni a további hardeninghez."
szerintem lehet sorolni a pro és kontra érveket. de hiába is biztonságosabb alapból a vista és a 7, mint az xp, ha a régi beidegződések alapján az júzere többsége
1. warezt használ
2. emiatt kikapcsolja az automatikus frissítéseket
3. ha legális, akkor meg azt a zavaró szart (UAC) kapcsolja ki.
ha az ms komolyan venné a biztonságot, nem engedne alapból csak rg fiókot használni+kikapcsoltatni az UAC-t. mert az évtizedek óta sulykolt butaságot, hogy a számítógéphez nem kell érteni, nehéz és fáradságos dolog kiverni az emberek fejéből. vagy sokba kerülne, mert vagy olyanra kellene megírni az OS-t, hogy mégis biztonságos legyen, akkor viszont a szintén több évtizede sulykolt és "egyre fokozódó" felhasználói élmény, a kényelem látná a kárát. így meg az egész világ látja: rengeteg fertőzés, botnetek, spamtenger, sok feleslegesen elköltött pénz a védelmi sw-kre és a használatuk miatt is megnövekedő erőforrásigény kielégítésére.

( mchalls | 2010. 03. 02., k – 16:21 )

"The main thing is not to install Flash!"
Silverlight jo ? :-)