Kezdőlap > Kategorizálatlan > Interjú azokkal akik feltörték a …. (Böngésző biztonsági körkép)

Interjú azokkal akik feltörték a …. (Böngésző biztonsági körkép)

2009. április 25. szombat Hozzászólás Go to comments

Az alábbi interjú, azokkal készült akik rendkívül gyorsan törték fel a Safari böngészőt. Erről és ennek körülményeiről olvashattok az alábbi bejegyzésben. (BlackHat) Valamint egy nagyon jó körképet láthattok, a piacon uralkodó böngésző biztonsági helyzetről.Tanulságos.

NILSimage

Szóval, ki vagy te?

A nevem Nils, 25 éves vagyok, és a Németországi Oldenburg egyetemén tanulok.

Vannak akik szerint nagy értékű sebezhetőségeket ad ki potom pénzért…

A hibákat csak azok a cégek értékelik nagyra, akik nem akarják kijavíttatni őket. Ebben nem akarok részt venni. Azt akarom, hogy javítsák a hibáimat. A CanSecWest két napja alatt le tudtam ülni olyan gyártókkal mint a Microsoft vagy a Mozilla, hogy a javításokon dolgozzunk. Nem akarok eladni hibákat idegen vállalatoknak. Bár ők sokat fizetnek, de nem áll érdekükben a hiba kijavíttatása.

Csak böngészőhibákra specializálódsz?

Azt mondanám, hogy kliens oldali hibákra specializálódom. Sok hibát jelentettem a ZDI-n keresztül pl. PDF olvasókkal és Javával kapcsolatban. De szeretem a böngésző hibákat. A legtöbb hibát ezekkel kapcsolatban találtam, legyen szó Safariról, IE-ről vagy Firefoxról.

imageNézzük az itteni eredményeidet! Hogyan értékelnéd 1-10ig az itt talált bugokat, kezdve az OS X-es Safarival?

A hibára egy 5-öst adnék. Nem azért mert a Maces Safari könnyű célpont, hanem inkább a hiba jellege miatt. Nem mondhatok sokat ezzel kapcsolatban, de Macen nehezebb volt megtalálni azt a hibát. Az exploit megírása már könnyű volt.

Volt Dinonak egy remek mondata az előadásában: "Az exploit írás Mac-en jó móka. Ugyanez Vistán kemé ny munka." Ebben teljesen egyetértek. Az OS X nem valósította meg rendesen a randomizációt, ezért nagyon könnyű volt működésre bírni az exploitot. Kíváncsi vagyok mi lesz a Snow Leopardban.

Mi a helyzet a windowsos Firefox exploittal?

Had helyesbítsek: Az egy MacOS X-en futó Firefox exploit volt. A hiba a windowsos változatot is érinti, de őszintén szólva ebben az esetben sokkal nehezebb megbízhatóan működésre bírni az exploitot. Ezért alkalmaztam a Firefox exploitomat MAC-en. Erről nem beszélhetek, de ennek a hibának a kihasználása Windowson az ASLR és a DEP miatt nehéz. Macen könnyű szerrel kihasználtam.

Emiatt ennek nehézségét 3-asra értékelném. A sebezhetőség szép volt. Nagy hatalmat kaphatsz ami fölött csak szeretnél, és ehhez csak a kódodat kell lefuttatnod. Tedd be a kódot a memóriába, szórd szét, és megjósolható helyre kerül. Mac-en nincs ASLR vagy DEP, egyszerűen lefuttathatod, és működik.

Windows7 és IE8?

Egy kész hibával érkeztem. Ez is egy szép hiba, amit nagyon-nagyon nehéz volt kihasználni, pontosan az ASLR és a DEP miatt. Módszereket kellett találnom ezek kivédésére, és nagy előkészületet igényelt egy megbízható exploit létrehozása. Tényleg nagyon-nagyon nehéz volt.

A Dowd/Sotirov féle módszert használtad a tavalyi BlackHat-ről?

Nagyra értékelem a munkájukat 🙂

Ez a hiba érinti az IE korábbi verzióit is?

Nem tudom. Nem tudtam előhozni IE7-ben. A gyártók minden új böngésző verzióval újabb és újabb lehetőségeket és technológiákat mutatnak be és a meglévő technológiát is változtatják. Nyilvánvalóan az új kód új veszélyeket szül. A verseny után beszéltem a Microsofttal. Kaptak egy másolatot az exploitból és nagyon-nagyon furdalta őket a kíváncsiság, hogy megtudják a részleteket és nekikezdhessenek a javításnak.

Tervezted, hogy mindhárom böngészőt meg fogod csinálni?

Igen. A Safari és IE már készen volt. Már tesztelgettem őket egy ideje. A Firefox bug nem volt készen. Vasárnap érkeztem, és keddig dolgoztam, hogy elkészüljek.

Elterveztem, hogy mindhárom nagy böngészőmotort lenyomom. A böngészők nem biztonságosak, és ez az ami érdekel. A legjobb az lenne, ha olyan munkát találnék, ahol kliens-oldali exploitokkal foglalkozhatok, akár Windowson, akár Mac-en

Utolsó szó? 

A legjobb, ha a felhasználók tudják: minden böngészővel és minden operációsrendszeren támadhatók. Általánosságban a hibák kihasználása Windows-on nehezebbé vált, de még mindig nem lehetetlen. A böngészőmotorok is egyre jobbak lesznek biztonság terén. Ma már sokkal nehezebb sebezhetőséget találni, de van egy csomó probléma az add-onokkal és a harmadik féltől származó komponensekkel.

Az embereknek tudniuk kell, hogy csúnya dolgok történhetnek, miközben a Netet böngészik, függetlenül attól, mit használnak. A szoftvergyártóknak arra kell koncentrálniuk , hogy nehezebbé tegyék a hibák kihasználását. A hibák mindig ott lesznek, de a támadók dolgát meg lehet nehezíteni. image

 

Charlie Millerrel

Ryan Naraine, a ZDnet riportere interjút készített Charlie Millerrel, az idei Pwn2Own egyik nyertesével, akinek sikerült gyakorlatilag másodpercek alatt megtörnie egy minden frissítéssel felvértezett Macen futó Safarit. Lássuk!

Tehát mit tudsz elmondani a sebezhetőségről?

Nem sokat. A szabályok értelmében nem mondhatok semmit a technikai részletekről. Annyit mondhatok, hogy a gép (MacBook Air) az összes patch-el rendelkezett. Az exploit a Safari 4 ellen készült, de Safari 3-on is működik. Igazság szerint ezt a hibát még a tavalyi Pwn2Own előtt találtam, de akkor még nehezebb volt kihasználni. Akkor két hibával, de csak egy axpoittal jöttem a CanSecWestre. Csak egyszer lehetett nyerni, ezért a másik hibát megtartottam. Kiderült, hogy még mindig működik, szóval írtam egy másik exploitot, amit most fel is használtam.

Ez működik windowsos Safarin is?

Nem tudom, nem próbáltam.

Gondoltál rá, hogy jelented a hibát az Apple-nek?

Soha nem adok fel hibákat ingyen. Van egy kis kampányom, a neve: Nincs Több Ingyen Hiba! A sebezhetőségek piaci értékkel bírnak, ezért nincs értelme keményen dolgozni egy hiba megtalálásán, az exploit megírásán, hogy aztán lemondj róla. Az Apple emebreket fizet ugyanezért a munkáért, tehát világos, hogy van ennek a munkának értéke. Nincs több ingyen hiba.

Van tipped arról, hogy mennyit ér ez a hiba?

Valószínűleg többet annál az 5000$-nál, mint amennyit most nyertem, de sokkal kevesebbet, kb. tized annyit, mint az IE8 hiba (amit Nils fedezett fel). Többet kaphattam volna érte 5000$-nál, de szerettem volna eljönni ide, és megmutatni mit tudok, meg csapni egy kis hírverést a cégemnek.

Miért pont a Safari? Miértnem az IE vagy a Firefox? 

Nagyon egyszerű, a Safarit könnyű megtámadni Mac-en. Azok a dolgok, amik Windowson megnehezítik egy exploit elkészítését, Mac-en egyszerűen nem működnek. Maceket sokkal könnyebb feltörni. Nem kell a windowsos anti-exploit technikákkal foglalkoznod.

Ez inkább az operációs rendszerről szól és nem a programról. A Mac-es Firefox is elég egyszerű eset, mivel az alap operációsrendszer nem tartalmaz semmilyen kihasználást megnehezítő technikát.

A Safari exploitomban, ha beírok valamilyen kódot egy folyamatba, akkor pontosan tudom, hogy az hová fog kerülni. Nincs randomizáció. Tudom, hogy amikor a megfelelő helyre ugrom, a kódom ott lesz, és lefuttathatom. Windowson beírhatom a kódot, de nem tudom, hová került, ha pedig megtalálom, akkor sem tudom lefuttatni. Ez két olyan dolog, ami nincs meg egy Mac-en.

Világos, hogy mindhárom böngésző sebezhető. Kódfuttatásra alkalmas hibák mindenfelé. De ez csak az egyenlet egyik fele. A másik fele a kihasználás. Ezt pedig szinte semmi nem akadályozza meg Mac-en.

Mi a nehezebb? Megtalálni a hibát, vagy kihasználni azt?

imageVáltozó. Régebben nehéz volt jó hibát találni, de ha már megvolt, a kihasználás könnyen ment. Ma a szoftvercégek ügyesebbek lettek, és megnehezítik a kihasználást. Manapság nehéz jó hibát találni, és még nehezebb kihasználni azt. Ezért alkotunk jó csapatot Dinoval (Dai Zovi). Ő az exploitokra specializálódott, én így a hibákra koncentrálhatok.

1-től 10-es skálán hogyan értékelnéd NILS mesterhármasát?

Meg voltam lepve. Az IE 8 esetében 10-ből 9-et adnék. A Safarira egy 2-est, túl egyszerű volt. A windowsos Firefox megérdemel egy 10-est. Ez volt a három közül a leglenyűgözőbb. A Firefox megtörése Windows-on nagyon nehéz. 

Valóban? Mi az amit IE-n megtehetsz, de Firefoxban nem?

A módszer amit használt működik IE ellen, de Firefoxban nem. Lehetővé teszi, hogy kódot helyezz el a memória meghatározott részére. Mark Dowd és Alex Sotirov beszélt erről tavaly a BlackHat-en. A módszerrel ráveheted a .NET-et, hogy ne kérjen engedélyt bizonyos műveletek végrehajtására, és kikerülje a korlátozásokat. Firefox-szal ezt nem tudod megcsinálni.

Az összes böngésző-oprendszer páros közül a windowsos Firefox a legnehezebb. Egy Firefoxxal OS X-en azt csinálsz amit akarsz. A Mac operációs rendszerében nincs semmi ami ebben megakadályozna.

Szóba hoztad a sebezhetőségek értékét. Meglepett, hogy Nils egyenként 5000$-ért eladta ezeket a hibákat?

Világos, hogy elképesztően tehetséges a srác. Lesokkolt mikor láttam, hogy valaki nevezett az IE8-ra. Sokkal többet kaphatsz 5000$-nál azokért a hibáért.  Egy csomó okos, elismert emberrel beszéltem, de senki nem tudja hogy csinálta. Simán kapott volna 50.000$-t azért a hibáért. 50.000$ a minimum.

Annyi idő és energia befektetésével, amit az IE-re és a Firefox-ra fordított, megtalálhatott és kihasználhatott volna 10 Safari hibát. Ahogy most hibánként 5000$-t fizettek neki, ugyanennyi erőforrás befektetésével 25-30.0000$-t kereshetett volna ha csak a maces Safarira utazik.

Meglepett, hogy a Google Chrome maradt egyedül talpon?

A Chrome-nak vannak hibái, de ezeket nagyon nehéz kihasználni. Van a tarsolyomban egy Chrome sebezhetőség, de még nem sikerült kihasználnom. Nagyon nehéz ügy. Van egy igen keservesen megkerülhető sandbox modelljük. A Chrome-ban több dolog kombinációjáról van szó: nem lehet kódot futtatni a heap-en, plusz ott van a Windows oprendszer szintű védelme védelme és a sandbox.

Elképzelhető, hogy ki tudnám használni ezt a hibát úgy, hogy kódot tudjak futtatni, de akkor még mindig ott lennék egy sandboxban, ahol nem csinálhatnék semmit. A sandboxból kitöréshez még egy hibára lenne szükség. Így két hiba és két exploit kell. Ez magasra teszi a lécet.

Eszembe jut, mikor megpróbáltam megjósolni a verseny kimenetelét, és nem hittem volna, hogy bárki is lenyomja a Chrome-ot, az IE-t vagy a Firefox-ot. Az egész csak közgazimagedasági kérdés. Minden csak ahhoz képest könnyű vagy nehéz, hogy mennyit fizetnek érte. Ha 1.000.000$-t ajánlottak volna minden Chrome bugért, sorban állnának az emberek, hogy csődbe vigyék a társaságot.

Általánosságban többet tesznek a böngészők a szörfözők biztonságáért mint régebben?

A böngészők annyira összetettek, hogy szinte lehetetlen mindent jól csinálni. Annyi kóddal és függőséggel nehéz tökéletesnek lenni. öt éve azt mondták, hogy a puffer túlcsordulásos problémák mára eltűnnek. Nem így lett. Hibák mindig lesznek, ezért okos dolog lenne a korlátozási lehetőségeken, anti-exploit technológiákon gondolkozni.

A böngészők jó szolgálatot tesznek az adathalászatra, potenciálisan kártékony weboldalakra, hibás SSL tanúsítványokról szóló értesítésekkel. Ez nem elég, de több mint a semmi. Azt hiszem, hogy az, amit a Chrome sandboxingjánál látunk, az az út, amelyet mindenkinek követnie kéne. Biztos beletelik néhány évbe, de ez kellene , hogy szabvánnyá váljon.

 

Forrás: http://buhera.blog.hu/2009/03/23/nils_interju  & http://buhera.blog.hu/2009/03/20/charlie_miller_interju

Kategóriák:Kategorizálatlan
  1. Még nincs hozzászólás.
  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: