Ryan Naraine, a ZDnet riportere interjút készített Charlie Millerrel, az idei Pwn2Own egyik nyertesével, akinek sikerült gyakorlatilag másodpercek alatt megtörnie egy minden frissítéssel felvértezett Macen futó Safarit. Lássuk!
Tehát mit tudsz elmondani a sebezhetőségről?
Nem sokat. A szabályok értelmében nem mondhatok semmit a technikai részletekről. Annyit mondhatok, hogy a gép (MacBook Air) az összes patch-el rendelkezett. Az exploit a Safari 4 ellen készült, de Safari 3-on is működik. Igazság szerint ezt a hibát még a tavalyi Pwn2Own előtt találtam, de akkor még nehezebb volt kihasználni. Akkor két hibával, de csak egy axpoittal jöttem a CanSecWestre. Csak egyszer lehetett nyerni, ezért a másik hibát megtartottam. Kiderült, hogy még mindig működik, szóval írtam egy másik exploitot, amit most fel is használtam.
Ez működik windowsos Safarin is?
Nem tudom, nem próbáltam.
Gondoltál rá, hogy jelented a hibát az Apple-nek?
Soha nem adok fel hibákat ingyen. Van egy kis kampányom, a neve: Nincs Több Ingyen Hiba! A sebezhetőségek piaci értékkel bírnak, ezért nincs értelme keményen dolgozni egy hiba megtalálásán, az exploit megírásán, hogy aztán lemondj róla. Az Apple emebreket fizet ugyanezért a munkáért, tehát világos, hogy van ennek a munkának értéke. Nincs több ingyen hiba.
Van tipped arról, hogy mennyit ér ez a hiba?
Valószínűleg többet annál az 5000$-nál, mint amennyit most nyertem, de sokkal kevesebbet, kb. tized annyit, mint az IE8 hiba (amit Nils fedezett fel). Többet kaphattam volna érte 5000$-nál, de szerettem volna eljönni ide, és megmutatni mit tudok, meg csapni egy kis hírverést a cégemnek.
Miért pont a Safari? Miértnem az IE vagy a Firefox [ez azt hiszem el van írva az eredeti cikkben]?
Nagyon egyszerű, a Safarit könnyű megtámadni Mac-en. Azok a dolgok, amik Windowson megnehezítik egy exploit elkészítését, Mac-en egyszerűen nem működnek. Maceket sokkal könnyeb feltörni. Nem kell a windowsos anti-exploit technikákkal foglalkoznod.
Ez inkább az operációs rendszerről szól és nem a programról. A Mac-es Firefox is elég egyszerű eset, mivel az alap operációsrendszer nem tartalmaz semmilyen kihasználást megnehezítő technikát.
A Safari exploitomban, ha beírok valamilyen kódot egy folyamatba, akkor pontosan tudom, hogy az hová fog kerülni. Nincs randomizáció. Tudom, hogy amikor a megfelelő helyre ugrom, a kódom ott lesz, és lefuttathatom. Windowson beírhatom a kódot, de nem tudom, hová került, ha pedig megtalálom, akkor sem tudom lefuttatni. Ez két olyan dolog, ami nincs meg egy Mac-en.
Világos, hogy mindhárom böngésző sebezhető. Kódfuttatásra alkalmas hibák mindenfelé. De ez csak az egyenlet egyik fele. A másik fele a kihasználás. Ezt pedig szinte semmi nem akadályozza meg Mac-en.
Mi a nehezebb? Megtalálni a hibát, vagy kihasználni azt?
Változó. Régebben nehéz volt jó hibát találni, de ha már megvolt, a kihasználás könnyen ment. Ma a szoftvercégek ügyesebbek lettek, és megnehezítik a kihasználást. Manapság nehéz jó hibát találni, és mégnehezebb kihasználni azt. Ezért alkotunk jó csapatot Dinoval (Dai Zovi). Ő az exploitokra specializálódott, én így a hibákra koncentrálhatok.
1-től 10-es skálán hogyan értékelnéd Nils mesterhármasát?
Meg voltam lepve. Az IE 8 esetében 10-ből 9-et adnék. A Safarira egy 2-est, túl egyszerű volt. A windowsos Firefox megérdemel egy 10-est. Ez volt a három közül a leglenyűgözőbb. A Firefox megtörése Windows-on nagyon nehéz.
Valóban? Mi az amit IE-n megtehetsz, de Firefoxban nem?
A módszer amit használt működik IE ellen, de Firefoxban nem. Lehetővé teszi, hogy kódot helyezz el a memória meghatározott részére. Mark Dowd és Alex Sotirov beszélt erről tavaly a BlackHat-en. A módszerrel ráveheted a .NET-et, hogy ne kérjen engedélyt bizonyos műveletek végrehajtására, és kikerülje a korlátozásokat. Firefox-szal ezt nem tudod megcsinálni.
Az összes böngésző-oprendszer páros közül a windowsos Firefox a legnehezebb. Egy Firefoxxal OS X-en azt csinálsz amit akarsz. A Mac operációs rendszerében nincs semmi ami ebben megakadályozna.
Szóba hoztad a sebezhetőségek értékét. Meglepett, hogy Nils egyenként 5000$-ért eladta ezeket a hibákat?
Világos, hogy elképesztően tehetséges a srác. Lesokkolt mikor láttam, hogy valaki nevezett az IE8-ra. Sokkal többet kaphatsz 5000$-nál azokért a hibáért. Egy csomó okos, elismert emberrel beszéltem, de senki nem tudja hogy csinálta. Simán kapott volna 50.000$-t azért a hibáért. 50.000$ a minimum.
Annyi idő és energia befektetésével, amit az IE-re és a Firefox-ra fordított, megtalálhatott és kihasználhatott volna 10 Safari hibát. Ahogy most hibánként 5000$-t fizettek neki, ugyanennyi erőforrás befektetésével 25-30.0000$-t kereshetett volna ha csak a maces Safarira utazik.
Meglepett, hogy a Google Chrome maradt egyedül talpon?
A Chrome-nak vannak hibái, de ezeket nagyon nehéz kihasználni. Van a tarsolyomban egy Chrome sebezhetőség, de még nem sikerült kihasználnom. Nagyon nehéz ügy. Van egy igen keservesen megkerülhető sandbox modelljük. A Chrome-ban több dolog kombinációjáról van szó: nem lehet kódot futtatni a heap-en, plusz ott van a Windows oprendszer szintű védelme védelme és a sandbox.
Elképzelhető, hogy ki tudnám használni ezt a hibát úgy, hogy kódot tudjak futtatni, de akkor még mindig ott lennék egy sandboxban, ahol nem csinálhatnék semmit. A sandboxból kitöréshez még egy hibára lenne szükség. Így két hiba és két exploit kell. Ez magasra teszi a lécet.
Eszembe jut, mikor megpróbáltam megjósolni a verseny kimenetelét, és nem hittem volna, hogy bárki is lenyomja a Chrome-ot, az IE-t vagy a Firefox-ot. Az egész csak közgazdasági kérdés. Minden csak ahhoz képest könnyű vagy nehéz, hogy mennyit fizetnek érte. Ha 1.000.000$-t ajánlottak volna minden Chrome bugért, sorban állnának az emberek, hogy csődbe vigyék a társaságot.
Általánosságban többet tesznek a böngészők a szörfözők biztonságáért mint régebben?
A böngészők annyira összetettek, hogy szinte lehetetlen mindent jól csinálni. Annyi kóddal és függőséggel nehéz tökéletesnek lenni. öt éve azt mondták, hogy a puffer túlcsordulásos problémák mára eltűnnek. Nem így lett. Hibák mindig lesznek, ezért okos dolog lenne a korlátozási lehetőségeken, anti-exploit technológiákon gondolkozni.
A böngészők jó szolgálatot tesznek az adathalászatra, potenciálisan kártékony weboldalakra, hibás SSL tanúsítványokról szóló értesítésekkel. Ez nem elég, de több mint a semmi. Azt hiszem, hogy az, amit a Chrome sandboxingjánál látunk, az az út, amelyet midnenkinek követnie kéne. Biztos beletelik néhány évbe, de ez kellene , hogy szabvánnyá váljon.
2009.03.20. 19:24:14
Repülő Majom · http://www.kutyushop.hu 2009.03.20. 22:12:26
Az említett Chrome-ban meg a google elszólása miatt nem nagyon bízok (tudjátok, amikor benne maradt a licence agreementben a szöveg, miszerint a google testvér figyel).
Joejszaka 2009.03.21. 17:13:52
synapse · http://www.synsecblog.com 2009.03.22. 15:31:14
Igy van.
Koszonom szepen az interjut es sok sikert."
Viccet felreteve sirogorcsot kapok, amikor cansecwest-en veri magat ez a faszi. Sajat security cege van, de nem kutatja fel a kritikus, komoly hibakat, mert windowson nehez oket kihasznalni? Inkabb azt mondja, hogy keres 30 safari bugot mert az tobb penzt hoz. Mert hogy nincs tobb ingyen hiba?
Newsflash, te paraszt: Egy hasonloan felkeszult ember aki a te dragasagos 0day hibaidat ugyanugy megtalalta (mert megtalaltak, ez biztos) oda fogja adni ingyen es te kozben ehenhalsz (amit meg is erdemelnel egyebkent). Mert ahelyett, hogy tenyleg meg is dolgoznal azert az $50000-ert, te csak nyilatkozol funek-fanak, hogy uristen uristen nem vagytok biztonsagban, csak ha megveszitek tolem az anticraxor9000-et. Hat dogolj meg bazdmeg.
synapse
noss 2009.03.23. 14:10:48
nagyon tanulságos volt...
...és persze lehangoló sok mek-felhasználó számára.
csalódtam a fosx cukormáza alatt rejlő dolgokban, nem értem miért nem építettek bele 1-2 rutinmunkának számító védelmet.
egy rakat ilyen cucc van nyílt forrás alatt is, ha maguktól tanácstalanok volnának.. :) :S
Repülő Majom · http://www.kutyushop.hu 2009.03.24. 02:11:00