VUPEN 5 perc alatt törte fel a Google Chrome böngészőjét a Pwn2Own versenyen

Tavalyi versenyen a Chrome talpon maradt. Ennek az okát hiába írtam le és azt is, hogy ez nem jelent valódi biztonságot a felhasználókra nézve, sokan nem értették meg vagy megpróbálták félremagyarázni a mondanivalómat. Most a módosított játékszabályoknak köszönhetően a VUPEN Security 5 perc alatt végzett a Pwn2Own versenyen és feltörve a Google Chrome böngészőjét 60 ezer dollárt zsebelt be.

Szerk.: Állítólag ők nem 60 ezret nyertek, az Sergey Glazunov volt a másik versenyen, a Pwniumon.

( anon7002197 | 2012. 03. 08., cs – 15:17 )

Version: 11.0 ..what?

(Ettől függetlenül dícséretes az exploit. Biztonság szempontjából melyik böngészőt érdemes használni? Vagy egyáltalán érdemes ez alapján dönteni? AdBlock és a sok remek kiegészítő miatt általában Firefox-ra raktam a voksot. Mióta Chrome önti a pénzt a securitybe, és jönnek is ki a fixek ezrével ... azóta váltottam. Igaz, kapok néha az arcomba pár popup-ot, de kibírom. Érdemes maradni, vagy hagyjam a fenébe és vissza Firefox?)

Version: 11.0 ..what?

Az még a tavalyi poszt/demo, amikor először előálltak az exploittal (és ment a hitetlenkedés, hogy valódi-e :).

Érdemes maradni, vagy hagyjam a fenébe és vissza Firefox?

Biztonságos böngésző nincs (ahogy biztonságos - általános célú - operációs rendszer sincs). Egyszerűen túl bonyolult szoftverek ezek ahhoz, hogy ilyesmiről beszélhessünk. Másrészről túl kevés prevenciós biztonsági megoldást használnak még mindig ahhoz, hogy legalább a távoli kódvégrehajtást kilehessen húzni a listáról (pedig ez csak a jéghegy csúcsa)...

Ennek ellenére proactive security design szempontból még mindig a Chrome a legjobb (process per site model, sandboxing, stb.), csak sajnos bizonyos biztonsági funkciók emellett a Google saját érdekeit is sértené, ezért nem ad elég szabadságot a kiegészítők fejlesztőinek (nincs API arra, hogy a Firefoxéhoz hasonló szintű kiegészítők készülhessenek). Ezért nincs még mindig rendes AdBlock, RefreshBlock, RequestPolicy, CertPatrol és egyebek, amelyekkel tovább lenne fokozható a biztonság.

Ha a Mozilla rágyúrna az Electrolysis projektre, akkor security designban beérhetné a Chromeot és abból a szempontból is jobb választás lehetne. Úgyhogy ez alapján nehéz dönteni. Az a kérdés, hogy mitől félsz jobban, milyen támadások ellen akarsz inkább védekezni (threat model). A távoli kódvégrehajtás általi kompromitálástól félsz jobban, vagy az olyan hibáktól, amelyeknél ez nem történik, de ugyanúgy személyiséglopás áldozatává válhatsz. Valamelyik böngésző ebben jobb, valamelyik abban. Nincs Ultimate Solution... :)

Viszont körültekintő kialakítás mellett mindegyikkel elérhető olyan biztonsági szint, amellyel a hétköznapi támadások ellen már védekezni lehet, ezért érdemesebb más szempontokat (is) figyelembe venni a böngésző kiválasztásához.

Hátrányból indul mindkettő, mert a fejlesztés kezdetén egyiknél se volt szempont a biztonság, az IE-nél a 7.0-ig nem is foglalkoztak vele igazán. Mostanság már mérhetetlen nagy pénzeket öl a biztonságába az MS, de ekkora méretű - ráadásul meglehetősen szövevényes - kódbázist rendesen auditálni meglehetősen nehéz, sok meglepetést tartogat. Főleg mert mellette a kompatibilitásra is törekedni kell és számos olyan funkciónak a megtartására is szükség van, amely közel sem növeli a biztonságot.

Ennek ellenére bizonyos szempontból biztonságosabbnak tekinthető, mint pl. a Firefox. A Protected Mode miatt egy saját kódvégrehajtást elérő exploit megírásához jóval több munkára van szükség (ahogy Chrome esetén is a sandbox miatt). Ugyanakkor jobban integrálódik a rendszerbe, nagyobb támadási felülete van és sok régi maradványkódot rejt még mindig magában, amelyek akkor születtek, amikor még nem volt szempont a biztonság.

Safari biztonsága eddig katasztrófális volt. Most az új 5.1 verzió OS X Lion alatt már szintén használ sandbox technikát, de nem néztem még, hogy mennyire jó a megvalósítás. Ráadásul ez a funkció nem elérhető Windowson és a korábbi OS X verziókon, így ott biztosan nem nehezíti a hibák kihasználását...

A baj, hogy Firefox-on a kiegészítők mind-mind rápakolnak az indulási időre, a memória használatra, és nem utolsó sorban, némelyik a lapok betöltésére is hatással van. Ezért nem igen használok NoScript-et, RequestPolicy-t és egyéb "védelmi" addonokat.

Szummázva: Érdemes Chrome-on maradni. (?)

Szerintem érdemes több (akár különböző) böngészőt használni, mindegyiket külön lekorlátozott homokozóban (vagy virtuális gépben) futtatva, szeparáltan, feladatok és szerepkörök szerint alkalmazva. Egyiket általános internetezésre használni, másikat személyesebb, bejelentkezést igénylő oldalakhoz alkalmazni, harmadikat kritikusabb, céges feladatokra, levelezésre, csoportmunkára és negyediket kizárólag netbankinghoz.

Ha jó a szeparáció, rendesen lebiztosítottak a bebörtönzött böngészők, akkor ha az egyiket még sikeresen exploitálják is, attól még a többinek az adataihoz (más kategóriába sorolt információkhoz) nem férhetnek hozzá olyan könnyen.

Nyilván nehezíteni lehet a támadások sikerre vitelét egyébként is mindenféle módszerekkel. Szigorú hozzáférésvezérléssel (pl. a böngészők nem futtathatnak külső programokat és csak a saját filejaikat írhatják/olvashatják), információ szivárgások csökkentésével (pl. böngésző verziójáról árulkodó user-agent string átírása/módosítása), stb.

( dikki | 2012. 03. 08., cs – 17:15 )

az 5 percnek ha jol sejtem nincs jelentosege, elore megirt exploitokat futtatnak.
mindenesetre tulsagosan nem erdekel a dolog, mert egyreszt igy is a legbiztonsagosabb bongeszo, masreszt fejlesztik is rendesen (ontik a penzt a biztonsagaba).

2 exploitot használtak, az elsővel kikerülték a DEP-et és ASLR-t, a másikkal meg kiléptek a Chrome sandboxból. Use-after-free sebezhetőséget használtak ki és nem kell hozzá 3rd party kód, tehát alapértelmezett telepítésre működik.
6 hetükbe került a hiba megtalálása és hozzá működő exploit írása. A sandboxból kilépős exploitot pedig nem adja át a Google-nak ha jól értelmeztem a szöveget.

az 5 percnek ha jol sejtem nincs jelentosege, elore megirt exploitokat futtatnak.

Nem egészen. Idei Pwn2Own versenyen helyben kellett exploitot írni, ezért sem indult idén Charlie Miller.

mindenesetre tulsagosan nem erdekel a dolog, mert egyreszt igy is a legbiztonsagosabb bongeszo

Úgy látom hiába volt az első hozzászólásom, mert nem olvastad el...

masreszt fejlesztik is rendesen

Legalábbis szorgosan inkrementálják a major verziószámot... ;)

Lassan elérik a 20.0-át, de még mindig nincs multi-line tabbar és egy rakás alapvető dolog, amelyet más böngészők már sok éve támogatnak. Mitöbb az eddig legalább létező side-bar-t is eltávolították az újabb verziókból.

Egy lépés előre, két lépés hátra. Ennyit a rendes fejlesztésről.

(ontik a penzt a biztonsagaba)

Jelentéktelen pénzt "öntenek" bele. A Microsoft sokkal többet költ az IE biztonságára, mégse hiszem, hogy biztonságosnak mondod... ;)

> Nem egészen. Idei Pwn2Own versenyen helyben kellett exploitot írni, ezért sem indult idén Charlie Miller.
A hivatkozott cikk szerint azert nem indult, mert egyedul lassabban tudja megirni _az elore megtalalt sebezhetosegre az exploitot_ a helyszinen, mint mondjuk 5-6 vupenes.

> Úgy látom hiába volt az első hozzászólásom, mert nem olvastad el...
Amiben azt irod, hogy a chrome-e a legjobb biztonsagi modell? Azt tenyleg nem.

> de még mindig nincs multi-line tabbar
:-O Igazad van, most nekem is feltunt.

> Jelentéktelen pénzt "öntenek" bele. A Microsoft sokkal többet költ az IE biztonságára, mégse hiszem, hogy biztonságosnak mondod... ;)
Igazabol de.

A hivatkozott cikk szerint azert nem indult, mert egyedul lassabban tudja megirni _az elore megtalalt sebezhetosegre az exploitot_ a helyszinen, mint mondjuk 5-6 vupenes.

Azt írtad, hogy "nincs jelentosege, elore megirt exploitokat futtatnak", erre reagáltam.

Amiben azt irod, hogy a chrome-e a legjobb biztonsagi modell? Azt tenyleg nem.

Majd utána kifejtettem, hogy ez miért nem jelenti egyben a "legbiztonsagosabb bongeszo"-t, aminek te hívtad.

Plusz eleve azzal kezdtem, hogy biztonságos böngésző nincs.

5 perc alatt történt a feltörés. Nyilván az előtte lévő felkészülés több időt vett igénybe. :)

Sebezhetőség javítását máról-holnapra mindenhol láthatod, de az olyan, mint az esemény utáni tabletta. A proaktív biztonsági megoldások használata ezért jobb, mert a nem ismert (0day) sebezhetőségek kihasználása ellen is védelmet próbál adni. A Chrome ilyen téren nem áll a többi böngészőhöz képest rosszul, de láthatólag mégsem áll elég jól a támadókhoz képest.

Neked pedig az utóbbit célszerűbb figyelembe venni, mert az kevés vígasz, hogy egymáshoz viszonyítva a Chrome böngésző security design szempontjából jobban áll, ha mégse tud megvédeni.