Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Pwnok harca

2012.03.12. 12:00 | buherator | 6 komment

Az idei CanSecWest versenyei adtak egy kis betekintést a profi sebezhetőség-kutatás világába, de fel is vetettek több kérdést, dilemmát a műfajjal kapcsolatban. Megpróbálom összefoglalni az elmúlt napok tanulságait néhány bekezdésben, aztán persze az lenne a legjobb, ha ti is leírnátok a gondolataitokat kommentben!

"Melyik a legbiztonságosabb böngésző?"

A fenti hajhullató kérdés több helyen is felmerült, egyszerű válasz pedig természetesen nincs. A Chrome idén szinte minden figyelmet magára vont (lásd még a marketingről szóló részt), és ez meg is látszik az eredményeken. Nem szabad azonban elfelejteni, hogy míg a Chrome exploitokkal a szakértők heteket dolgoztak, addig a Pwn2Own 1-day kategóriájában kiosztott sebezhetőségekre ugyanezek a csapatok órák alatt megírták az exploitokat. A Google úttörő szerepet játszik a böngésző biztonságban, de a Microsoft is szépen igyekszik követni a példát, aminek csak örülhetünk*. 

Persze ha csak a hardeningről lenne szó, könnyű dolgunk lenne. Amíg azonban böngészőtől (és akár oprendszertől) függetlenül borítani lehet a bilit mondjuk egy Java sebezhetőségen keresztül, nem elég pusztán egy jó böngészőt választanunk.

* Feltéve, hogy újabb Windowst használunk, a megerősítések jó része ugyanis csak ilyen esetben alapértelmezett. Erről is kéne írnom egy posztot...

Az Ár

A legkomolyabb viták természetesen a pénz körül alakultak ki. A Vupen tavaly még belebegtette, hogy 40 ezer dolcsiért megdönti a Chrome-ot, de mint kiderült, ez az összeg csak az exploit-kombináció kisebb(?) részére elég, a teljes sandbox kitörés nyilvánosságrahozatalához a 60.000 dollár is olcsó volt. 

Legalábbis a franciáknak, ketten ugyanis úgy gondolták, hogy mégis elég szép pénz ez néhány hét (hónap) melóért. Persze a kalkulációban biztosan helyet kapott a karrierépítés is ("Helló, én vagyok a Pwnium bajnok, ki akar megérinteni?"), azt hiszem, az idei díjak már egyfajta határvonal közelébe értek.

Megfelelő kapcsolatok birtokában a Vupen nyilván jobb üzletet tud csinálni, főleg mivel az exploitokat többször is el lehet adni. Kapcsolatok hiányában viszont ez a pénz egyáltalán nem tűnik rossznak, a Pwnium 120.000-es minusza mutatja, hogy a szponzorok nem irreálisan alacsony jutalmakat ajánlottak fel. Persze meg lehetne próbálni brókerként használni a megfelelő cégeket, de felmerülhetnek problémák az anyagiakon túl is.

VUPEN

A VUPEN csapata (fotó: ZDNet)

Az IT biztonság

Mit is profitál az IT biztonság abból, ha betolom a találmányomat valamilyen privát exploitgyűjteménybe? A hackerek romantikus lelke lehet, hogy nem mindig tartja járhatónak ezt az utat. Sarkítva a problémát: kihez kerül az exploitom? Mi van, ha a saját exploitomat használva zárják el/mérgezik meg a vizet a városomban (lásd még Die Hard 4)?

Mindezt figyelembe véve a "szürke piacok" nem hogy nem segítik a biztonságos informatikát, hanem egyenesen veszélyesek. A Vupennél (és más hasonló műhelyeknél) nyilván mérlegelték ezt a kérdést is, lelkük rajta.

Ha a szponzorokat nézzük, a Pwn2Own motivációja érthető, a TippingPoint/DVLabs IDS-t gyárt, ehhez akar mintákat vásárolni, ilyen szemszögből a sandbox-kitörés (mint egyfajta helyi exploit) kevésbé releváns. A Pwnium, törekedve a mélyre ható védelemre, szoftverhibák javítását tűzte ki céljának, meg persze ott van ...

A marketing

A Google nagyon okosan játszott: az egymillió dolláros díjazás már jóval a CanSecWest előtt beindította az újságírókat, pedig egyértelmű volt, hogy a pénz nagy része végül a banknál marad. A verseny kezdetétől ömlöttek a Chrome-mal kapcsolatos cikkek a webre (a feedolvasómba az elmúlt 4 nap alatt 26 ilyen témájú cikk érkezett). Persze ezek nagy része arról szól, hogy a Chrome-ot sikerült feltörni, a többi böngészőről pedig alig esett szó, de mint tudjuk a negatív hírnek is van értéke. Főleg akkor, ha minden helyen megemlítik az elmúlt évek veretlenségét, a védelmi rendszer megkerülésébe fektetett rengeteg munkát, és nem utolsó sorban, hogy a gyártó minden sebezhetőséget 24 órán belül javított (helló frissítőkedd!). 

A CanSecWest másik nagy nyertese természetesen a Vupen, akik szintén ott voltak minden cikkben, melyekben néha még a Pwnium díját is nekik adták, elvitték az eddigi legnagyobb Pwn2Own nyereményt és még a 0-day-üket is megtarthatták. Pofátlanul szép! 

A DVLabs ebben a játszmában érezhetően lemaradt, valószínűleg a törzspwner Charlie Millert is visszatartó új játékszabályoknak köszönhetően. De CanSecWest jövőre is lesz - ha a blackhatek nem döntik romba Torontót Vancouvert - , addig pedig remélhetőleg mélyebben megismerhetjük az idei termést is!

Címkék: google gondolat pwn2own cansecwest pwnium vupen dvlabs tippingpoint

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

MonDeekoma 2012.03.12. 14:08:23

Kedvenc részem: "helló frissítőkedd!" :D
Amúgy én chromeozok, néha firefox :) Nincs egyikkel sem különösebb bajom biztonság terén. Úgy vélem mindkét csapat sokat fektet a témára :) IE-ről meg nem mondok semmit.

buherator · http://buhera.blog.hu 2012.03.12. 16:16:39

Kicsit késve, de eszembe jutott a tökéletes cím a bejegyzéshez - remélem nem okozok kavarodást a váltással :)

Hunger 2012.03.12. 16:26:47

@MonDeekoma: "Nincs egyikkel sem különösebb bajom biztonság terén."

A böngészők 'biztonságosságát' mi alapján döntöd el? Hétköznapi használat esetén nehéz erről objektív véleményt alkotni.

axt · http://axtaxt.wordpress.com/ 2012.03.12. 20:03:23

Nekem ez a rész szimpatikus: "Cash remaining to be distributed to the Chrome Security Team."

MonDeekoma 2012.03.13. 11:41:45

@Hunger: Köszi a kérdést :)
Tényleg nem triviális.
Természetesen nem objektív az én véleményem sem csak a saját tapasztalataim alapján mondom őket biztonságosnak. A 7-8 éves jó kis IE-s "extrém" oldalak látogatása után bekapott vírusok és egyéb windowsos problémák alapján tetszik a chrome és a ff böngészők user "védelme" :) Néha ugyanis elkeveredek én is kicsit virgonc oldalakra :)

Hunger 2012.03.13. 12:17:36

@MonDeekoma: Pont azért kérdeztem, mert egy 7-8 évvel ezelőtti IE tapasztalatból nehéz pontosan megállapítani a jelenlegi helyzetet.

Próaktív biztonság terén például a legújabb, naprakészen tartott IE9 (szintén mai, modern oprendszeren futtatva, ahogy buherator okosan meg is jegyezte, mint fontos részletet) sok szempontból előbbre tart és nehezebben támadható, mint az aktuális Firefox.

Egy régebbi (nem kell, hogy 7-8 éves legyen :) Firefox használata esetén pedig jelenleg ugyanúgy bekaphatsz kártevőket.