Az idei CanSecWest versenyei adtak egy kis betekintést a profi sebezhetőség-kutatás világába, de fel is vetettek több kérdést, dilemmát a műfajjal kapcsolatban. Megpróbálom összefoglalni az elmúlt napok tanulságait néhány bekezdésben, aztán persze az lenne a legjobb, ha ti is leírnátok a gondolataitokat kommentben!

"Melyik a legbiztonságosabb böngésző?"

A fenti hajhullató kérdés több helyen is felmerült, egyszerű válasz pedig természetesen nincs. A Chrome idén szinte minden figyelmet magára vont (lásd még a marketingről szóló részt), és ez meg is látszik az eredményeken. Nem szabad azonban elfelejteni, hogy míg a Chrome exploitokkal a szakértők heteket dolgoztak, addig a Pwn2Own 1-day kategóriájában kiosztott sebezhetőségekre ugyanezek a csapatok órák alatt megírták az exploitokat. A Google úttörő szerepet játszik a böngésző biztonságban, de a Microsoft is szépen igyekszik követni a példát, aminek csak örülhetünk*. 

Persze ha csak a hardeningről lenne szó, könnyű dolgunk lenne. Amíg azonban böngészőtől (és akár oprendszertől) függetlenül borítani lehet a bilit mondjuk egy Java sebezhetőségen keresztül, nem elég pusztán egy jó böngészőt választanunk.

* Feltéve, hogy újabb Windowst használunk, a megerősítések jó része ugyanis csak ilyen esetben alapértelmezett. Erről is kéne írnom egy posztot...

Az Ár

A legkomolyabb viták természetesen a pénz körül alakultak ki. A Vupen tavaly még belebegtette, hogy 40 ezer dolcsiért megdönti a Chrome-ot, de mint kiderült, ez az összeg csak az exploit-kombináció kisebb(?) részére elég, a teljes sandbox kitörés nyilvánosságrahozatalához a 60.000 dollár is olcsó volt. 

Legalábbis a franciáknak, ketten ugyanis úgy gondolták, hogy mégis elég szép pénz ez néhány hét (hónap) melóért. Persze a kalkulációban biztosan helyet kapott a karrierépítés is ("Helló, én vagyok a Pwnium bajnok, ki akar megérinteni?"), azt hiszem, az idei díjak már egyfajta határvonal közelébe értek.

Megfelelő kapcsolatok birtokában a Vupen nyilván jobb üzletet tud csinálni, főleg mivel az exploitokat többször is el lehet adni. Kapcsolatok hiányában viszont ez a pénz egyáltalán nem tűnik rossznak, a Pwnium 120.000-es minusza mutatja, hogy a szponzorok nem irreálisan alacsony jutalmakat ajánlottak fel. Persze meg lehetne próbálni brókerként használni a megfelelő cégeket, de felmerülhetnek problémák az anyagiakon túl is.

A VUPEN csapata (fotó: ZDNet)

Az IT biztonság

Mit is profitál az IT biztonság abból, ha betolom a találmányomat valamilyen privát exploitgyűjteménybe? A hackerek romantikus lelke lehet, hogy nem mindig tartja járhatónak ezt az utat. Sarkítva a problémát: kihez kerül az exploitom? Mi van, ha a saját exploitomat használva zárják el/mérgezik meg a vizet a városomban (lásd még Die Hard 4)?

Mindezt figyelembe véve a "szürke piacok" nem hogy nem segítik a biztonságos informatikát, hanem egyenesen veszélyesek. A Vupennél (és más hasonló műhelyeknél) nyilván mérlegelték ezt a kérdést is, lelkük rajta.

Ha a szponzorokat nézzük, a Pwn2Own motivációja érthető, a TippingPoint/DVLabs IDS-t gyárt, ehhez akar mintákat vásárolni, ilyen szemszögből a sandbox-kitörés (mint egyfajta helyi exploit) kevésbé releváns. A Pwnium, törekedve a mélyre ható védelemre, szoftverhibák javítását tűzte ki céljának, meg persze ott van ...

A marketing

A Google nagyon okosan játszott: az egymillió dolláros díjazás már jóval a CanSecWest előtt beindította az újságírókat, pedig egyértelmű volt, hogy a pénz nagy része végül a banknál marad. A verseny kezdetétől ömlöttek a Chrome-mal kapcsolatos cikkek a webre (a feedolvasómba az elmúlt 4 nap alatt 26 ilyen témájú cikk érkezett). Persze ezek nagy része arról szól, hogy a Chrome-ot sikerült feltörni, a többi böngészőről pedig alig esett szó, de mint tudjuk a negatív hírnek is van értéke. Főleg akkor, ha minden helyen megemlítik az elmúlt évek veretlenségét, a védelmi rendszer megkerülésébe fektetett rengeteg munkát, és nem utolsó sorban, hogy a gyártó minden sebezhetőséget 24 órán belül javított (helló frissítőkedd!). 

A CanSecWest másik nagy nyertese természetesen a Vupen, akik szintén ott voltak minden cikkben, melyekben néha még a Pwnium díját is nekik adták, elvitték az eddigi legnagyobb Pwn2Own nyereményt és még a 0-day-üket is megtarthatták. Pofátlanul szép! 

A DVLabs ebben a játszmában érezhetően lemaradt, valószínűleg a törzspwner Charlie Millert is visszatartó új játékszabályoknak köszönhetően. De CanSecWest jövőre is lesz - ha a blackhatek nem döntik romba Torontót Vancouvert - , addig pedig remélhetőleg mélyebben megismerhetjük az idei termést is!