Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Nils interjú

2009.03.23. 17:53 | buherator | Szólj hozzá!

A Charlie Miller interjú másik fele Nilssel, aki az IE-t, a Firefoxot és a Safarit is ledöntötte a lábáról:

Szóval, ki vagy te?

A nevem Nils, 25 éves vagyok, és a Németországi Oldenburg egyetemén tanulok.

Miért nem osztod meg a teljes neved? Nem vonz az ezzel járó hírnév?

Tulajdonképpen már így is a címlapokon vagyok. Szeptemberben végzek az iskolával, utána munkát kell keresnem. Azért jöttem ide Kanadába, hogy kapcoslatokat építsek és megmutatssam a Pwn2Own-on hogy mit tudok. Azok az emberek akik alkalmazhatnak, valószínűleg itt vannak.

A teljes névvel az a problémám, hoy minden srác elkezdene nyaggatni, hogy megvehesse a sebezhetőségeket. Nem akarom eladni ezt az információt ismeretleneknek. Megértem, hogy a hibáknak értéke van, és már ezelőtt is adtam el sebezhetőségeket, de csak a Tipping Pointnak, mert azt akarom, hogy a hibákat jelezzék a gyártónak és később javításra kerüljenek.

Vannak akik szerint nagy értékű sebezhetőségeket ad ki potom pénzért...

A hibákat csak azoka cégek értékelik nagyra, akik nem akarják kijavíttatni őket. Ebben nem akarok részt venni. Azt akarom, hogy javítság a hibáimat. A CanSecWest két napja alatt le tudtam ülni olyan gyártókkal mint a Microsoft vagy a Mozilla, hogy a javításokon dolgozzunk. Nem akarok eladni hibákat idegen vállalatoknak. Bár ők sokat fizetnek, de nem áll érdekükben a hiba kijavíttatása.

Csak böngészőhibákra specializálódsz?

Azt mondanám, hogy kliens oldali hibákra sepcializálódom. Sok hibát jelentettem a ZDI-n keresztül pl. PDF olvaskkal és Javával kapcsolatban. De szeretem a böngésző hibákat. A lgtöbb hibát ezekkel kapcsolatban találtam, legyen szó Safariról, IE-ről vagy Firefoxról.

Nézzük az itteni eredményeidet! Hogyan értékelnéd 1-10ig az itt talált bugokat, kezdve az OS X-es Safarival?

A hibára egy 5-öst adnék. Nem azért mert a Maces Safari könnyű célpont, hanem inkább a hiba jellege miatt. Nem mondhatok sokat ezzel kapcsolatban, de Macen nehezebb volt megtalálni azt a hibát. Az exploit megírása már könnyű volt.

Volt Dinonak egy remek mondata az előadásában: "Az exploit írás Mac-en jó móka. Ugyanez Vistán kemény munka." Ebben teljesen egyetértek. Az OS X nem valósította meg rendesen a randomizációt, ezért nagyon könnyű volt működésre bírni az exploitot. Kíváncsi vagyok mi lesz a Snow Leopardban.

Mi a helyzet a windowsos Firefox exploittal?

Had helyesbítsek: Az egy MacOS X-en futó Firefox exploit volt. A hiba a windowsos változatot is érinti, de őszintén szólva ebben az esetben sokkal nehezebb megbízhatóan működésre bírni az exploitot. Ezért alkalmaztam a Firefox exploitomat MAc-en. Erről nem beszélhetek, de ennek a hibának a kihasználása Windowson az ASLR és a DEP miatt nehéz. Macen könnyű szerrel kihasználtam.

Emiatt ennek nehézségét 3-asra értékelném. A sebezhetőség szép volt. Nagy hatalmat kaphatsz ami fölött csak szeretnél, és ehhez csak a kódodat kell lefuttatnod. Tedd be a kódot a memóriába, szórd szét, és megjósolható helyre kerül.Mac-en nincs ASLR vagy DEP, egyszerűen lefuttathatod, és működik.

Windows7 és IE8?

Egy kész hibával érkeztem. Ez is egy szép hiba, amit nagyon-nagyon nehéz volt kihasználni, pontosan az ASLR és a DEP miatt. Módszereket kellett találnom ezek kivédésére, és nagy előkészületet igényelt egy megbízható exploit létrehozása. Tényleg nagyon-nagyon nehéz volt.

A Dowd/Sotirov féle módszert használtad a tavalyi BlackHat-ről?

Nagyra értékelem a munkájukat :)

Ez a hiba érinti az IE korábbi verzióit is?

Nem tudom. Nem tudtam előhozni IE7-ben. A gyártók minden új böngésző verzióval újabb és újabb lehetőségeket és technológiákat mutatnak be és a meglévő technológiát is változtatják. Nyilvánvalóan az új kód új veszélyeket szül. A verseny után beszéltem a Microsofttal. Kaptak egy másolatot az exploitból és nagyon-nagyon furdalta őket a kíváncsiság, hogy megtudják a részleteket és nekikezdhessenek a javításnak.

Tervezted, hogy mindhárom böngészőt meg fogod csinálni?

Igen. A Safari és IE már készen volt. Már tesztelgettem őket egy ideje. A Firefox bug nem volt készen. Vasárnap érkeztem, és keddig dolgoztam, hogy elkészüljek.

Elterveztem, hogy mindhárom nagy böngészőmotort lenyomom. A böngészők nem biztonságosak, és ez az ami érdekel. A legjobb az lenne, ha olyan munkát találnék, ahol kliens-oldali exploitokkal foglalkozhatok, akár Windowson, akár Mac-en

Utolsó szó?

A legjobb, ha a felhasználók tudják: minden böngészővel és minden operációsrendszeren támadhatók. Általánosságban a hibák kihasználása Windows-on nehezebbé vált, de még mindig nem lehetetlen. A böngészőmotorok is egyre jobbak lesznek biztonság terén. Ma már sokkal nehezebb sebezhetőséget találni, de van egy csomó probléma az add-onokkal és a harmadik féltől származó komponensekkel.

Az embereknek tudniuk kell, hogy csúnya dolgok történhetnek, miközben a Netet böngészik, függetlenül attól, mit használnak. A szoftvergyártóknak arra kell koncentrálniuk, hogy nehezebbé tegyék a hibák kihasználását. A hibák mindig ott lesznek, de a támadók dolgát meg lehet nehezíteni.

Címkék: windows firefox safari internet explorer os x nils cansecwest

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.