Pwn2Own 2009

[mike.mcfin]

Taas se aika vuodesta. Eilen alkoi (ja päättyi) Pwn2Own contest 2009 (OSX vs. Win7 hackkerointi). Charlie Miller teki sen mitä uhosi eli saman kuin viime vuonna kaappasi OSX:n drive-by* aukolla parissa sekunnissa.

*) Vierailet web-sivulla tekemättä mitään ja se on siinä.


Toki saman kilpailuvaiheen aikana myös IE8 ja firefox antautuivat samantyylisellä exploitilla. Sama tilanne siis joka alustalla. Olihan tuo odotettavissa mutta vähän silti harmittaa

Lyhyet lainaukset TippingPointilta niin välttyy turhalta surffailulta:

"Charlie Miller got the luck of the draw, and had the first time slot for the browser competition. His target- Safari on Mac OS X. Before I could even pull my camera out, it was over within 2 minutes- and Charlie (coincidentally also last year's first winner of the day) is now the proud owner of yet another MacBook, and $5,000 from the Zero Day Initiative."

"Next up, Nils. Just Nils- you know, like “Prince” or “Madonna”. With a little tweaking, he ran a sleek exploit against IE8, defying Microsoft’s latest built in protection technologies- DEP (Data Execution Prevention) as well as ASLR (Address Space Layout Randomization) to take home the Sony Vaio and $5,000 from ZDI. "

[ajp]

Se on näköjään helppoa kun vaan osaa. On taas Applen koodaajilla aukkoja tukittavana ja tietysti muilla myös.

[MacFinn]

totta puhuen alkaa nyppimään tämä jokavuotinen murto. Applen pitää parantaa tässä ja paljon. Muuten joutuu katseleen muita selaimia. Vaikka seuloja ne näemmä on myös.

[kermit]

Voihan sitä hämätä itseään käyttämällä jotain harvinaista selainta kuten Mozilla-perheen Flockia tai WebKit-pohjaista OmniWebbiä. Näiden aukoistahan ei juuri julkisuudessa puhuta, vaikka esim. Flock sisältää todennäköisesti samat ongelmat kuin Firefox.

[Sherukka]

Itse en ymmärrä tuon kilpailun tarkoitusta? Nythän, jos oikein uutisoitiin, käytettiin viime vuonna löydettyä aukkoa josta ei raportotu kun se löydettiin!? Helppoa kun mitä ja oliko tuo nyt sitten rehellisesti voitettu kilpailu? Jos oli uutisoitu väärin niin pahoittelen...
EDIT: Jokainen IT-alalla vakavissaan puuhasteleva tietää että aukkoja löytyy joka paikasta, ei siis ole mikään yllätys että selaimistakin näitä löytää.

[jazzi]

Ja mitä nyt pitää pelätä ? Nautitaanko omenat tästä lähtien vain keitettyinä? On salmonellaa, sarsia... ja huomenna joku työpaikalla tajuaa, että kaikki kolmekymmentä omenaamme ovat pilaantuneet, kun uutisissa kerran niin sanottiin. Mutta kun ei oikein taaskaan kukaan sano mitä pitäisi varoa, pelätä, kuka teki mitä, hä...

Voisiko joku sivistää tyhmää

[atheos]

Ja mikä noitakin estää etsimästä aukkoja hyvissä ajoin, jättää ilmoittamatta ja käyttää vain ensimmäistä mikä on kilpailuhetkellä vielä paikkaamatta? Käytännössähän noissa kisataan vain siitä kuka hyödyntää nopeiten aiemmin löytämäänsä aukkoa...

[MacFinn]

Lainaus Charlie Milleriltä:
"Lucky [the exploit] was idiot-proof, because if I had had to think about it, I don't know if I'd had anything"
http://www.macworld.co.uk/mac/news/inde ... wsid=25462

Eli tarkoittaako tuo, että tämä oli ainoa hänen tietämänsä aukko?

[mike.mcfin]

Ja mikä noitakin estää etsimästä aukkoja hyvissä ajoin, jättää ilmoittamatta ja käyttää vain ensimmäistä mikä on kilpailuhetkellä vielä paikkaamatta? Käytännössähän noissa kisataan vain siitä kuka hyödyntää nopeiten aiemmin löytämäänsä aukkoa...

Siis nimenomaan tästä siinä on kyse. Ei siitä kuka "ehtii / kykenee / osaa" nopeiten hakkeroimaan jotain vaan siitä kenellä on zeroday-exploit ko. aukkoon takataskussa.

OSX on kiusallisen helppo siinä mielessä, että pohjalla on ziljoonariviä opensource-koodia jonka bugireportit on julkisia. Ei tarvitse kuin googlata mitä bugeja on korjaamatta tai missä versiossa ne on korjattu ja verrata mitä versiota OSX/WebKit(Safari)/tms. käyttää. Sitten vain kehitellään siihen exploit (yleensä stack smash). Tähän löytyy sitten valmiita työkaluja joilla homman voi jopa osittain automatisoida. Käytetään valmista payloadia shellcodea varten jostain metasploitin - tietokannasta. Pyh. Where is the REAL challenge? 8)

[kermit]

Linux taisi jäädä edellisessä kisassa murtamatta ja se on kokonaan avointa koodia. Ne vaan paikkaa bugeja vähän eri tahtiin kuin Apple.

[Elroy]

Tämä on hyvä esimerkki että omenafanaattisuus ja nauraminen windowsin viruksille on ihan turhaa. Itse olen enemmän huolissani käyttöjärjestelmään pääsystä ihmisen toimesta verrattuna virukseen jonka pääsyä voi rajoittaa ja toimintaa ennalta ehkäistä. Suorissa reijissä on suoraan valmistajan armoilla päivityksen osalta.

[masa]

Linux taisi jäädä edellisessä kisassa murtamatta ja se on kokonaan avointa koodia. Ne vaan paikkaa bugeja vähän eri tahtiin kuin Apple.

Mitäs sen murtamisesta olisi saanut palkaksi... öö linux läppärin? who cares? Tää tyyppi on vaan perehtynyt osx:n aukkoihin ja osannut pitää mölyt mahassaan loppuun asti.. ja sai palkaksi rahaa ja uuden Macin

[kermit]

VAIO VGN TZ37CN. Ja olihan nyt myös se toinen tyyppi, joka käytti eri bugia hyväkseen kuin Miller.

[masa]

VAIO VGN TZ37CN. Ja olihan nyt myös se toinen tyyppi, joka käytti eri bugia hyväkseen kuin Miller.

Eikös vaion saanut kun pwanasi win7:n? Eli se meni jo..

[securapple]

Hei!

Itekin oon noilla turva-ukkeli kurseilla muutaman kerran osallistunut hakkerointikilpailuun.
Toka kerralla oli mukana suorat exploitit winkkariin, jolloin kun kilpailu alkoi ni kaks ekaa w2003-servua oli jo meidän tiimille hakkeroitu alle minuutissa.

Exploitteja netistä esim. millw0rmista : http://www.milw0rm.com/

Näitä aukkoja etsitään nk. "fuzzereilla", joille kerrotaan ohjelma ja sen rajapinnat (API). Hakkeri sitten muotoilee oman tietämyksen mukaisesti "Fuzzerin" tykitystä rajapintaan sellaisiksi että potentiaaliset turva-aukot löytyvät ohjelman palautteesta.
Esim. kokeillaan inhottavia merkkejä/pitkiä urleja / kumpaakin, vähän käytettäviä ko. API:n legacy-ominaisuuksia ym...

http://en.wikipedia.org/wiki/Fuzz_testing

Eli jos tämä os x "guru" on fuzzaunnut safaria pari viikkoa, ja löytänyt muutaman aukon jotka on sitten tilaisuudessa ajettu niin eipä tämä minulle kerro kuin että applen pitäisi tehdä "microsoftit". Eli kaikille koodajille pakollinen tietoturva-koulutus "writing secure code". Sitten bonusjärjestelmään muutos :
Löydät turva-aukon kaverin koodista : sulle 10%$ palkasta kertabonusta.
Kaveri löytää sun koodista tietoturva-aukon : -5% seuraavaan palkkaan.

Pitää muistaa että selaimen kautta sisään tuleva SAA SELAIMEN AJAVAN TUNNUKSEN KÄYTTÖOIKEUDET.
Käytännössä JOS selaaja EI OLE ADMIN/root, hakkeri joutuu ajamaan vielä yhden "privilege escalation" -aukon kautta uuden exploitin jolla sitten saat root/admin -luvat ja koneen haltuusi.

-securapple

[mike.mcfin]

Pitää muistaa että selaimen kautta sisään tuleva SAA SELAIMEN AJAVAN TUNNUKSEN KÄYTTÖOIKEUDET.
Käytännössä JOS selaaja EI OLE ADMIN/root, hakkeri joutuu ajamaan vielä yhden "privilege escalation" -aukon kautta uuden exploitin jolla sitten saat root/admin -luvat ja koneen haltuusi.

Tämä on se erittäin oleellinen ero winkkarin ja OSX:n välillä.
Winkkarissa koodi on 90% tapauksista heti adminin-oikeuksilla ja voi tehdä sitten mitä lystää.
OSX:ssä on toki aukkoja miten rootin tunnuksen saa haltuun mutta niitä on jäljellä enää rajallinen määrä.
Ja näistä jäljellä olevista saa karsittua suurimman osan pois kun oma tili ei ole pääkäyttäjä vaan perus-user.

En tiedä onko "SystemLoginItems.plist" - aukkoa korjattu viimeisessä Leopardissa mutta se oli aika yleisesti käytetty rootiksi kohottamiskeino joka toimii vain mikäli ks. user on pääkäyttäjä. Toinen vastaava on "ARDAgent" applescripti.

[securapple]

Hei!

off-topic, mutta Itse asiassa missä tahansa unix/linux -puolen koneissa on "game over" mikäli peruskäyttäjä pääsee kirjoittamaan yhdenkin tiedoston tiedostojärjestelmään. Pistät vaan kirjoittamallesi tiedostolle SUID- ja executen -bitit päälle ja awot.

Tämän takia kaikki kotihakemistot pitäisi olla omalla partitiolla, ja mountata nosuid,nogid,noexec,nodev -ym. flägeillä.

Toinen bugi oli ainakin .sh -skriptien suojauspuute, shelliskriptin ajo ei ole yksittäinen operaatio vaan jakaantu kahtia. operaatioiden välissä hakkeri voi yrittää korvata ajettavan tiedoston polun muistissa omallaan. Tätä suojaamaan keksittiin /proc -viritys jossa muistissa olevaa polkua ja /procin alla olevaa polkua verrattiin, jos eri ei suoritusta tehty.

Eräs guru kertoi että hänen ohjelmalla solarispuolella tämä polun muutos onnistui 50% tapauksista.

mcfinnille, winkkarissa nykyään adminitkin ovat users-tasolla. Jos haluat tehdä jotain adminina tulee UAC -prompti.
Sinänsä ihmettelen miksi pistää beta-käyttis tohon kilpailuun(win7)? JA ownaamisen kriteeri oli mikä(ei selvinnyt) eli pääsikö esim. winkkarissa
tuo guru kirjoittamaan/lukemaan tavaraa IE:n ulkopuolelta (integrity-tasojen suojaus)?

Loppukaneettina toivoisi OS X:äänkin tulevan jonkinlaisen SELinux-tyyppisen hienojakoisemman tietoturvamallin. Tuo tiedostojen käyttöoikeuspuoli on perinteisesti ollut aika kaksitasoinen. Olet root tai et mitään.

OS X ADMIN-täppä tarkoittaa periaatteessa samaa kuin winkkarin UAC prompti, eli kaikkitietävä surffaaja painaa klik => kaikki suojaukset on ohitettu.

Itse pistäisin admin/UAC promptiin :" Ohjelma X haluaa täydet valtuudet tietokoneellesi, sallitko sen."

-securapple

[spiidi78]

Tästä pääsemmekin aiheeseen, josta olen hyvin huolissani. Nimittäin se nykysuuntaus, jossa kaikkea dataa ruvetaan työntämään pilveen, eli internetiin helpottamaan käyttäjää -> ts. konkreettisesti kaikkien saataville. Ehdottomasti olen koko ajatusta vastaan. Vähän aikaa sittenhän löydettiin vasta se DNS-bugikin, joka olis käytännössä väärissä käsissä aiheuttanut internetin katastrofin.

Sori offtopic

edit: joo taisinki puhua hieman eri asiasta. lisää kahvii silmät liikkuu

[securapple]

Spiidi puhuu vähän mutta asiaa...

Nyt kaikki homppulaiset tekemään jatkuvuussuunnitelmaa digitaalisen elämän käyttökatkojen varalle!

Itse ehdotan :

1. Iphone 3G hankkimista OS 3.0:lla jos kotinetti takkuilee (iphone tethered -ominaisuus oli tulossa). Iphone 3G-liittymä eri ISP kuin kotinetti.
2. Kotimaisen operaattorin spostili varapostiksi jos mobileme takkuilee,
3. Gmail/googlen härpättimet kolmosvaraksi kun Summan konesali valmistuu.
4. Wippies -wlan liittyminen olisi se viimeinen warayhteys jos nyt jollain pääsis nettiin.
5. Opendns -dnspalvelin ip:t muistilapulle.

100000... Osta PALJON kyyhkysiä, tcp/ip on demottu toimivan kirjekyyhkyjen avulla : http://en.wikipedia.org/wiki/IP_over_Avian_Carriers

IPoAC has been successfully implemented, but for only nine packets of data, with a packet loss ratio of 55%, and a response time ranging from 3000 seconds to over 6000 seconds.

...Elisa/Sonera tarvitsisivat aika paljon kyyhkysiä

-Securapple

[mike.mcfin]

100000... Osta PALJON kyyhkysiä, tcp/ip on demottu toimivan kirjekyyhkyjen avulla : http://en.wikipedia.org/wiki/IP_over_Avian_Carriers

IPoAC has been successfully implemented, but for only nine packets of data, with a packet loss ratio of 55%, and a response time ranging from 3000 seconds to over 6000 seconds.

DDoS IPoAC:lla kuulostaa aikaa pelottavalta.... Hitchcockin Linnut ?

[kronos]

Aihetta sivuten...

http://www.roughlydrafted.com/2009/03/2 ... virus-foe/

[miicah]

"Why Safari? Why didn't you go after IE or Safari?

It's really simple. Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for an exploit to work), Macs don't do. Hacking into Macs is so much easier. You don't have to jump through hoops and deal with all the anti-exploit mitigations you'd find in Windows.

It's more about the operating system than the (target) program. Firefox on Mac is pretty easy too. The underlying OS doesn't have anti-exploit stuff built into it."

Eli ongelmana taitaa olla enemmänkin turvallisena pidetty OSX. Ai ai.

[MacFinn]

Mikähän on oikea ongelma:

What’s the ballpark value of that Safari bug?

It was probably more than that $5,000 prize I won. It’s much less than the IE 8 vulnerability (exploited separately by Nils) by about a factor of ten. I could get more than $5,000 for it but I like the idea of coming here and showcasing what I can do and get some headlines for the company I work for (Independent Security Evaluators).

Taitaa vaan bisnes mennä huonosti ja tollaisilla lausunnoilla on mainosarvoa.

[mike.mcfin]

Taitaa vaan bisnes mennä huonosti ja tollaisilla lausunnoilla on mainosarvoa.

Asiassa on pieni perä sen suhteen että W^X (write xor execute) muistisegmentit (jotka käyttävät prossun NX-lippua) eivät oikein "toimi" 32-bittisillä softilla eikä ole siksi käytössä. Tilanne paranee SnowLeopardin tullessa. Tällöin kaikki 64-bit binäärit asettavat writeable segmentit kirjoitussuojatuksi (no more buffer overflow exploitteja). Samaten iso apu tulee rekistereiden käytöstä funktion argumenttien passaamisessa (stackin sijaan). Return-into-Libc -exploitit loppuvat seinään.

Mutta eiköhän tämä kiteytä nykytilanteen aika osuvasti:
Miller admitted that he doesn’t bother running any (av-software) on his Macs. ‘I don’t think it protects me as well as it says,’ he argued. ‘If I was worried about attacks, I would use it, but I’m not worried.’“ 8)

Raughly Drafted lisää myös osuvasti (kuten Kronos jo linkkasikin):
"So there you have it: Miller knows where flaws are in Apple’s software, but he also knows that antivirus is unnecessary for the majority of users, just as I stated in January. He knows that because nobody will buy his discovered exploits. When Miller stops showing up to CanSecWest with ready exploits in hand, you can start worrying that he found a buyer. Until then, you can root for Miller to win the contest, because it means Mac users have little to worry about in the real world."

[securapple]

‘I don’t think it protects me as well as it says'

juuri näin, 100% samaa mieltä.

-securapple