Beritaron Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 (endret) Takk for informasjonen Newton. Angående det siste du Quoter, tenker jeg først og frermst på pwn2own som var i fjor, du linker til en artikell fra i år, det samme skjedde også i 2007. Tror Mac'en røyk ut pga hull i Safari i både 2007 og 2008 også. Årsaken til at Windows røyk ut i 2008 var et hull i Flash som gjorde at hackeren fikk kontroll over Vista, om det er mulig å utnytte dette i andre OS var det usikkerhet rundt, men det er ikke så lenge siden det ble oppdagen et sikkerhetshull til Flash i Linux. Uansett, det er ikke sikkert slike konkurranser gir noen som helst pålitelig indikasjon på hvilket OS/nettleser som er sikrest. Om dette var en test for å sjekke nettlesere, synes jeg det hadde vært intressant å sett hvordan Opera hadde gjort det i en slik konkurranse. Endret 24. mars 2009 av tamarin Lenke til kommentar
tommyb Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 @tommyb: Tåkeleggingen her er det faktisk hw.no som står for, gjennom en søppelartikkel som jeg tror er den dårligste og mest unøyaktige framstillingen jeg har sett omkring saken, rendyrkede tabloidpublikasjoner som VG og itavisen medregnet...Denial? Tror ikke det, du. En Mac med Safari ble hacket, hvorfor skulle noen benekte det? Det interessante er hvordan den ble hacket (noe vi ikkke får svar på enda), omstendighetene rundt et slikt stunt (og hvordan enkelte utnytter PR-verdien for alt den er verdt), og hva Apple gjør for å forbedre situasjonen (OS X Snow Leopard har en rekke sikkkerhetsmessige forbedringer, og ville med stor sannsynlighet motstått forsøket). Men ved ikke å formidle fakta, gjør hw.no dette til en helt annen diskusjon enn det burde ha vært. Tøv. Hw.no har skrevet et kortfattet referat av nyheten, og da spesifikt den del av nyheten som gikk på hvor lang tid det tok fra konkurransen startet til maskinen var hacket. Aller har ikke bedrevet noen tåkelegging eller opprettet noe Reality Distortion Field, det finner du kun i kommentarene. Det betyr ikke at de detaljene som er utelatt er mindre interessante, men det betyr at de er utenfor scopet på artikkelen. Lenke til kommentar
tommyb Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Synnes safari og mac har hatt en lignende overskrift for noen år siden.Tydligvis ikke gjort noe med problemet. Da var det vel ikke 10sek men en konkurranse om å "hacke" mac og da var også safari det svake ledd. Det er en årlig konkurranse, dermed også en årlig sak om hvor kort tid det tar å utnytte et sikkerhetshull i de forskjellige operativsystemene/nettleserene. Lenke til kommentar
Muffinman Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Hm, denne saken har jeg lest et annet sted for lenge siden.... Lenke til kommentar
tjomi Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Det var Safari som ble hacket, men det ga hackeren full kontroll over hele maskinen tror jeg. Da dette er relatert til Safari, i hvilken grad kan dette hullet også utnyttes i andre OS Safari er gitt ut på? Dette er ikke første gangen et produkt fra Apple kommer dårligst ut i PWN2OWN, sist når Windows, Linux og Mac var med, var OSX det første som ble hacket. Windows Vista gikk ut som nummer to, og Ubuntu ble gjenværende urørt ... men det ble nevnt at hullet som ble brukt til å hacke Vista var lukket trerdjepartsprogram som også er tilgjengelig til Linux, og at det kan hende det hadde vært mulig å utnyttet det samme hullet der også. Fikk nå lyst til å fremheve noe fra intervjuet med han som hakket apple maskinen. http://blogs.zdnet.com/security/?p=2941&tag=nl.e540 Intervjuer: Why Safari? Why didn’t you go after IE or Safari? Miller: It’s really simple. Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for an exploit to work), Macs don’t do. Hacking into Macs is so much easier. You don’t have to jump through hoops and deal with all the anti-exploit mitigations you’d find in Windows. It’s more about the operating system than the (target) program. Firefox on Mac is pretty easy too. The underlying OS doesn’t have anti-exploit stuff built into it. M.a.o. OSX er usikkert, og det var derfor han gikk etter eple maskinen. Fordi det var lettere. Kan liksågodt oppsummere de andre punktene fra intervjuet. Safari\OSX = usikkert IE8 sikkert Firefox sikrest Chrome, finnes bugs men klarer ikke å utnytte de pga. sandbox modelen. (så man kan vel si at det er sikrere en FF). Han tror at alle browsere kommer til\bør kopiere sandbox modellen til chrome. Linux er ikke nevnt med et ord Lenke til kommentar
JohndoeMAKT Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 (endret) Det tristeste med denne artikkelen er at overskriften "Mac hacket kun ved å besøke en URL" er både mer korrekt men har også mye høyere blikkfang enn dagens overskrift. Nå ble det riktignok hacket en PC med Windows samtidig, men du finner ingen fanboys som går berserk når dét omtales. Kan du peke ut hvor disse innleggene er? Jeg ser de hvertfall ikke i denne tråden, så det hadde vært flott om du kunne fisket frem en link eller tre. Ønsker om noe mer fylde er notert, så takk for den Var ikke det allerede notert? Jeg syntes å huske at noen har nevnt det ønsket tidligere. Endret 24. mars 2009 av JohndoeMAKT Lenke til kommentar
Newton Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 "bevisst feilaktig framstilling"? I alle dager, nå har jeg hørt det også. "bevisst feilaktig framstilling" er standard-svar ved artikler som omhandler sikkerhet på Mac. Nei, det er et "standardsvar" ved artikler som er et elendig makkverk av copy&paste av bruddstykker fra en historie i VG. Jeg kan gjerne diskutere sikkerhet på Mac, men foretrekker å ta utgangspunkt i fakta. Lenke til kommentar
Svar Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Kenny Bones: Så vidt jeg har klart å finne ut har dette hullet vært kjent i 1år, og han har hatt godt tid til å forbrede alt, ja. Dett er vell også en såkalt whitehat konkuranse, da de ikke har lov til å gå ut med oppskriftene. Så vidt jeg kjenner til blir det de finner ut sendt til produsentene slik at de kan fikse hullene. Lenke til kommentar
aeinstein Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Beklager HW, jeg må også kommentere at dere var for sent ute med denne nyheten. Har allerede sett den 3-4 steder... Lenke til kommentar
Beritaron Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Linux er ikke nevnt med et ord Når jeg blandet inn Linux, var ikke det i sammenheng med i år, men i fjor da det var fokus på OS. Denne gangen er det derimot fokus på nettlesere, men synes jeg det da er litt rart at ikke Opera er med. Synes forøvrig at noen artikler/nyheter begynner å bli en smule korte her på HW, er noen ganger det er litt vanskelig å få et helhetlig bilde av saken uten å måtte sjekke opp med flere kilder. Denne nyhetsartikellen kunne vært noe lengre? Lenke til kommentar
Newton Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 (endret) [Fikk nå lyst til å fremheve noe fra intervjuet med han som hakket apple maskinen.http://blogs.zdnet.com/security/?p=2941&tag=nl.e540 Intervjuer: Why Safari? Why didn’t you go after IE or Safari? Miller: It’s really simple. Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for an exploit to work), Macs don’t do. Hacking into Macs is so much easier. You don’t have to jump through hoops and deal with all the anti-exploit mitigations you’d find in Windows. It’s more about the operating system than the (target) program. Firefox on Mac is pretty easy too. The underlying OS doesn’t have anti-exploit stuff built into it. M.a.o. OSX er usikkert, og det var derfor han gikk etter eple maskinen. Fordi det var lettere. Kan liksågodt oppsummere de andre punktene fra intervjuet. Safari\OSX = usikkert IE8 sikkert Firefox sikrest Chrome, finnes bugs men klarer ikke å utnytte de pga. sandbox modelen. (så man kan vel si at det er sikrere en FF). Han tror at alle browsere kommer til\bør kopiere sandbox modellen til chrome. Linux er ikke nevnt med et ord Som jeg nevnte tidligere i tråden da jeg linket til samme artikkelen, det er all grunn til å ta enkelte av uttalelsene til Miller med en stor klype salt. Han _vet_ hva som skaper omtale og gir overskrifter, og han har selv uttalt at han gjør dette av to grunner: penger og PR. Det stemmer ikke at det ikke er anti-exploit tiltak i OS X. De er riktig nok ikke fullt utbygd/utnyttet enda, men mye av det grunnleggende er på plass fra og med Leopard, inkludert adresserandomisering, sandboxing, m.m. Fra Wikipedia, om Darwin - fundamentet i OS X: "Full POSIX compliance, improved hierarchical process scheduling model, dynamically allocated swap files, dynamic resource limits (for files and processes), process sandboxing, address space layout randomization" http://en.wikipedia.org/wiki/Darwin_(operating_system) Mer om sikkerhetsarkitekturen i OS X her: http://blogs.zdnet.com/security/?p=595 I Snow Leopard kjører Safari 4 i en egen "sandkasse", noe som sannsynligvis ville gjort exploiten svært mye vanskeligere, eller umulig. Resultatet av hackingkonkurransen kan oppsummeres slik: Safari/OSX = usikkert Windows/IE8 = usikkert Firefox = usikkert Alle tre ble som kjent hacket, og i hvilken rekkefølge det skjedde var helt tilfeldig. Endret 24. mars 2009 av Newton Lenke til kommentar
G Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 (endret) Har det ikke en del å si hvilken sikkerhetsprogramvare som finnes på Mac'en? Tenker spesiellt på brannmuren. Hva slags brannmur blir eventuellt en standard konfigurert Mac levert med, og kan denne, eller eventuellt en annet brannmurvalg for Mac'en stoppe ett slikt angrep utenifra? Det står ikke mye informasjon om hvordan testen/konkurransen er gjennomført Arsæll. Det er jo av litt interesse for oss lesere som ønsker å vite mest mulig om det som interesserer oss. F.eks., er testen satt opp med at en må besøke en ondsinnet skrevet hjemmeside? Eventuellt om det bare er manuell hacking mot IP-adressen (som hackeren må vite på forhånd)? Står hackerne fritt i konkurransen til å velge nesten hva som helst av metoder? Det spørsmålet burde ihvertfall la seg besvare allerede, før plasterlappene utvikles av Apple. Håper disse konkurransene får utviklerne av nettleserne til å utvikle nettlesere litt langsommer, med større fokus på å renske ut bugs. Endret 24. mars 2009 av G Lenke til kommentar
tommyb Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Kan du peke ut hvor disse innleggene er? Jeg ser de hvertfall ikke i denne tråden, så det hadde vært flott om du kunne fisket frem en link eller tre. Jeg liker egentlig ikke å trekke fram enkeltpersoner når jeg har gitt såpass generell kritikk. På et mer generelt grunnlag så finner man til slike artikler kommentarer om at dette telles ikke fordi brukeren må gjøre en aktiv handling for å få installert programvare på Mac, eller all verdens varianter av at "dette er ikke et virus/dette er ikke en trojaner"-misoppfatninger. Noe som heldigvis ikke er brukt i denne tråden. I denne tråden derimot, må vel disse avsnittene ses på som noe ubalansert: Eller mener du å si at Apple fortjener løgner som den som er presentert i overskriften og artikkelen her, om "sekunder" - mens det i virkeligheten tok en person med svært inngående kunnskaper om OS X og sikkerhet dager eller uker å forberede denne hacken? Jeg beskylder derimot hw.no for løgn, fordi de gir en bevisst feilaktig framstilling. At VG ikke klarer få med seg fakta er jeg vant til, derfor leser jeg ikke VG. Men jeg nekter å tro at hw.no er så inkompetente at de ikke klarer få med seg essensen her, og da gjenstår bevisst løgn i "beste" itavisen-stil som forklaring på denne sykt idiotiske, feilaktige og unyanserte artikkelen. Problemet er heller det at det medieføres som om at nettleserne ble hacket på 10 sekunder. Det er jo løgn. Neida. Hacket gjøres i det øyeblikket koden kjøres som bryter gjennom sikkerhetsmekanismene. Faktisk er hacket mye kortere enn ti sekunder. Derimot tok det ti sekunder fra konkurransen startet til maskinen var ferdig hacket. Oppgavene til en hacker kan for eksempel defineres som: 0) Opparbeide en forståelse for hvordan man kan utnytte sikkerhetshull i programvare, 1) Få tilgang til maskinen, 2) Finne ut hva slags programvareversjoner som eksisterer på målmaskinen, 3) Finne kjente sikkerhetshull på denne programvaren/versjonen, 4) Dersom ingen kjente sikkerhetshull finnes, analysere tidligere kjente sikkerhetshull for å se om det er noen historisk gjengående svakheter, 5) Dersom det er noen kjente gjennomgående svakheter, for eksempel manglende validering på en spesifikk type data, test etter tilsvarende feil, 6) Dersom det ikke er noen kjente gjennomgående svakheter, test etter generelt kjente svakheter for å finne ut om programvaren har noen av disse, 7) Forbered kode for å kjøre hacket, 8) Eksekver koden for å gjennomføre hacket. 1) og 2) er ordnet av de som arrangerte konkurransen. Sånn sett kan man påstå at forberedelsen til hacket begynte da konkurransen ble annonsert. Mer korrekt er det å påstå at han begynte forberedelsen til hacket da han første gang begynte å lese om kjente sikkerhetshull. Hvis man skal ta sånne tid med i tidsregningen er det faktisk ingen hack som har tatt mindre tid enn lengden på livet til personen som gjennomførte hacket, da han har måtte lære et viss nivå av å bruke motorikk, lese og skrive, logisk deduksjon og sosial interasjon for å få til dette. I dette tilfellet var det et 3) kjent sikkerhetshull for denne personen, som han ble kjent med gjennom å ha gjennomført et punkt 4) på et tidligere tidspunkt. På bakgrunn av dette har gjennomført punkt 7) på forhånd, men før han gjennomførte punkt 8) var hacket faktisk ikke påbegynt, bare forberedt. Det står ingen steder i reglene for denne konkurransen at man ikke kan bruke verktøyer for å gjennomføre hacket. Joda, hacket brukte faktisk ikke lengre tid enn ti sekunder. Nå kan man være enige eller uenige i om hvilke forberedelser som skal være med i tiden man regner for et hack, men at man er uenige gjør ikke at man kan beskylde HW.no eller sine meddebattanter for løgner, inkompetanse eller bevisst feilaktig fremstilling. Slik ville ikke kommet fra en objektiv part. Lenke til kommentar
tommyb Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Når det er sagt, er jeg enig i mye av det andre som er sagt av samme personer i denne spesifikke tråden. Lenke til kommentar
Newton Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Har det ikke en del å si hvilken sikkerhetsprogramvare som finnes på Mac'en? Tenker spesiellt på brannmuren. Hva slags brannmur blir eventuellt en standard konfigurert Mac levert med, og kan denne, eller eventuellt en annet brannmurvalg for Mac'en stoppe ett slikt angrep utenifra? Det står ikke mye informasjon om hvordan testen/konkurransen er gjennomført Arsæll. Det er jo av litt interesse for oss lesere som ønsker å vite mest mulig om det som interesserer oss. F.eks., er testen satt opp med at en må besøke en ondsinnet skrevet hjemmeside? Eventuellt om det bare er manuell hacking mot IP-adressen (som hackeren må vite på forhånd)? Står hackerne fritt i konkurransen til å velge nesten hva som helst av metoder? Det spørsmålet burde ihvertfall la seg besvare allerede, før plasterlappene utvikles av Apple. Håper disse konkurransene får utviklerne av nettleserne til å utvikle nettlesere litt langsommer, med større fokus på å renske ut bugs. Jeg tviler på at brannmurinnstillinger har noen som helst innvirkning på nettleser-exploits, hvis man ikke blokkerer nettleseren totalt...derimot så er det mulig f.eks å slå av plug-ins, Java og javascript i de fleste nettlesere, noe som vil øke sikkerheten, men minske funksjonaliteten. Men de fleste nettlesere har disse tingene på som standard, og dermed i denne testen også. Testen ble gjennomført ved at man klikket på en lenke som ført til en nettside med ondsinnet kode. Hvilken type kode, hvilke nettleserkomponenter (f.eks javascript) som ble utnyttet sies det foreløpig ingen ting om. Det ligger i konkurransekonseptet at all informasjon/beskrivelse/kode for vellykkede exploits sendes til de respektive utviklerne av nettleserne, så Apple, Microsoft og Mozilla vet nå det de trenger for å fikse disse hullene. Lenke til kommentar
G Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Så siden brannmuren slipper gjennom nettlesertrafikk, så blir PC'en noen hakk mer usikker. Altså ville det gjerne vært tryggere å surfe fra f.eks. en virtuell PC på verts PC'en? For å skape seg ett slags sandkasse substitutt. Lenke til kommentar
del_diablo Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Så siden brannmuren slipper gjennom nettlesertrafikk, så blir PC'en noen hakk mer usikker. Altså ville det gjerne vært tryggere å surfe fra f.eks. en virtuell PC på verts PC'en? For å skape seg ett slags sandkasse substitutt. Det kalles separasjon av Brukerland og Filer, Unix systemer har hatt sånt i en evighet. Lenke til kommentar
G Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 Bare Unix, ikke Linux? Har det noe navn på Unix (evt. Linux)? Lenke til kommentar
Newton Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 (endret) @tommyb: Jeg ser du har quotet en del av mine formuleringer her. Jeg står inne for hver eneste av dem. På sett og vis er det egentlig et kompliment til hw.no, at jeg nekter å tro at de er så talentløse som det artikkelen kunne tyde på. Hvis det virkelig er så dårlig stilt som artikkelens innhold kunne tyde på, at redaksjonen ikke vet bedre, så ber jeg selvsagt om unnskyldning for at jeg kalte overskriften og deler av artikkelen for løgner - og ber om at artikkelforfatter blir satt til oppgaver som passer bedre til kompetansen vedkommende måtte ha. For denne artikkelen var både syltynn og direkte misvisende, og det er jeg ikke den eneste som mener selv om jeg kanskje uttrykker og begrunner det klarere enn en del andre. Men du mener altså at alle hacks som er basert på forhåndsskrevet exploitkode pr. definisjon tar like lang tid som det tar å kjøre koden, altså brøkdeler av et sekund, hvis jeg tolker deg rett. I så fall gjelder jo det alle hacks i konkurransen, og alle lignende hacks ute i "det fri" - og det blir meningsløst å trekke inn tidsaspektet i det hele tatt. Dersom man starter klokken i det øyeblikk man har ferdig testet og fungerende kode, og trykker på en lenke, er det ingen grunn til å framheve akkurat det ene tilfellet som det fokuseres på. Da ble IE og Firefox hacket på millisekunder også. Et spesifikt hack, rettet mot en spesifikk sårbarhet, inkluderer _minimum_ tiden det tar å utvikle koden for det spesifikke hacket, men gjerne også research som er gjort for dette ene formålet. Så om man legger litt vanlig logikk til grunn her, så inkluderer tiden det tar å hacke Safari, IE eller Firefox i mange tilfeller punkt 1-8, men minimum pkt 7 og 8 - det er _ikke_ gjort på mindre enn 10 sekunder, uansett. Det kan dessuten nevnes at det er en "flytende målskive" her, i forbindelse med pkt 2, 3 osv. og mulig forberedelsestid fra tidspunktet for annonsering av konkurransen. OS, nettleser og annen software blir endret og patchet, slik at exploits som fungerte for ett år siden eller da konkurransen ble annonsert, ikke nødvendigvis fungerer på konkurransedagen. Microsoft var f.eks heldige med patchetidspunkt i forkant av fjorårets konkurranse, så vidt jeg minnes... Endret 24. mars 2009 av Newton Lenke til kommentar
JohndoeMAKT Skrevet 24. mars 2009 Rapporter Del Skrevet 24. mars 2009 tommyb: Eneste jeg ser i sitatene du drar frem er en uenighet i artikkelens fokus på tid og ingenting som sier noe om posteren er for eller mot Apple. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå