Kurt Lekanger Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Klarte å trenge ut av virtuell maskin: Vant nesten 900 000 kroner i Pwn20wn-hackingkonkurranse Lenke til kommentar
myhken Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Litt skremmende at man faktisk kan utsette vertsmaskinen for fare via en virtuell pc. Er jo liksom hele vitsen med å kjøre virtuelle pcer. Denne gangen var det bare VmWare som var utsatt, bra for min del, siden jeg har flyttet alt over på Hyper-V, men det betyr jo ikke at slike hull dukker opp i Hyper-V også. Hadde vært interessant å vite nøyaktig hvordan de greier å få kontroll på vertsmaskinen, men det får vi vel ikke vite før VmWare har tettet sikkerhetshullene. 3 Lenke til kommentar
VS6F2053 Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Litt skremmende at man faktisk kan utsette vertsmaskinen for fare via en virtuell pc. Er jo liksom hele vitsen med å kjøre virtuelle pcer. Denne gangen var det bare VmWare som var utsatt, bra for min del, siden jeg har flyttet alt over på Hyper-V, men det betyr jo ikke at slike hull dukker opp i Hyper-V også. Og det har du helt rett i - her er f.eks en fra forrige uke: https://technet.microsoft.com/library/security/ms17-008 Lenke til kommentar
Kikert Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Ganske imponerende. Artig at det var kinesere som fikset biffen, tenker det er kaos hos diverse etater i USA nå 1 Lenke til kommentar
myhken Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Og det har du helt rett i - her er f.eks en fra forrige uke:https://technet.microsoft.com/library/security/ms17-008 Ja se der. Viser viktigheten av å holde slike servere oppdatert. Lenke til kommentar
G Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Edge er vel en Win10-greie. Svakt OS? Lenke til kommentar
myhken Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Edge er vel en Win10-greie. Svakt OS? Dette problemet handler jo om tilgang på vertsmaskinen, så problemet ligger jo i programvaren som virtualiserer. Det skal jo være likegyldende hva du kjører på de virtuelle pcene. Jeg bruker jo virtuelle pcer til å teste ut f.eks ransomware virus og andre skumle saker. Ellers brukes jo ofte virtuelle pcer til å teste ut svakheter i systemer. Poenget er jo at man begrenser det til den virtuelle pcen. Så til og med Edge ble brukt i ett av disse angrepene, så er jo svakheten i Vmware (i dette tilfellet) som faktisk lar den virtuelle pcen få tilgang på vertsmaskinen. Vmware kan jo kjøres i både Windows og Linux, så svakheten ligger jo ikke i Windows. 1 Lenke til kommentar
Bytex Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Har ingenting med Windows 10 å gjøre, det er vmware som tillot Edge å komme "ut" uansett, Lenke til kommentar
G Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 (endret) Det er litt sprøtt at de må betale nesten en million for å få tettet noen få hull. Framfor å sjekke koden selv. Tenk på alle de andre hull som ikke ble tatt tak i denne gang? Det er sikkert noen igjen som kineserne ikke oppdaget, men kanskje NSA eller Russland vet om. Endret 21. mars 2017 av G Lenke til kommentar
Thomas Arp Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Det er litt sprøtt at de må betale nesten en million for å få tettet noen få hull. Framfor å sjekke koden selv. Tenk på alle de andre hull som ikke ble tatt tak i denne gang? Det er sikkert noen igjen som kineserne ikke oppdaget, men kanskje NSA eller Russland vet om. Egentlig ikke dyrt med en million. Den ekspertise som sitter i et slikt hackerteam ville kostet dem mye mer hvis de skulle ha hatt dem på lønningslisten permanent. Og i praksis er det ikke sannsynlig at de selv ville kunne finne feilene likevel - her var det mange teams som alle jobbet for å få det til, og det lyktes bare for noen av dem. 2 Lenke til kommentar
myhken Skrevet 21. mars 2017 Rapporter Del Skrevet 21. mars 2017 Det er litt sprøtt at de må betale nesten en million for å få tettet noen få hull. Framfor å sjekke koden selv. Tenk på alle de andre hull som ikke ble tatt tak i denne gang? Det er sikkert noen igjen som kineserne ikke oppdaget, men kanskje NSA eller Russland vet om. Tenk på verdien av ca en million kroner i Kina. Så dette bidrar jo til at uavhengige folk (hackere) faktisk bruker sin kunnskap til å finne slike sikkerhetshull. Det igjen bidrar jo til at slike hull blir kjent for omverdenen på godt og vondt. La oss si at et slikt hull var laget av/for at f.eks NSA skulle ha en bakdør. Ikke det at jeg tror akkurat denne saken handler om det. Men likevel bidrar slike konkurranser til at ukjente hull blir oppdaget, blir informert om, og garantert tettet. Et selskap som VmWare har garantert ikke mulighet til å teste absolutt alle mulige scenarioer som finnes for å avdekke slike hull. Bare tenk på mulighetene x antall OS ganger x antall programmer i hele verden. Dette er avanserte greier. Og det ene hullet krevde jo at man faktisk trigget hele tre kombinasjoner før man fikk tilgang på vertsmaskinen. Så da har du alle OS i verden (som kan kjøres på VmWare) ganger alle programmer i verden ganger 3. Det tallet er astronomisk. Så ja, kanskje NSA vet om hull i dag, men i morgen finner en hacker som kan tjene en million på jobben dette hullet, og bidrar til at det blir tettet. Ville vært mye mer bekymret om selskaper som VmWare og Microsoft ikke tillot slike åpne konkurranser som dette. For det ville jo betydd at de trolig hadde noe å skjule. 3 Lenke til kommentar
BjartmarO Skrevet 22. mars 2017 Rapporter Del Skrevet 22. mars 2017 Det er litt sprøtt at de må betale nesten en million for å få tettet noen få hull. Framfor å sjekke koden selv. Tenk på alle de andre hull som ikke ble tatt tak i denne gang? Det er sikkert noen igjen som kineserne ikke oppdaget, men kanskje NSA eller Russland vet om. De sjekker jo koden selv også. Det er jo på en måte det som er hele poenget med konkurranser av denne typen. De har sjekket programvaren sin selv, så godt som de bare klarer. Deretter inviterer de utenforstående til å se på det, for å se om disse klarer å avdekke ytterligere hull, i tillegg til de som man selv avdekket da man så på det internt. Lenke til kommentar
siDDis Skrevet 22. mars 2017 Rapporter Del Skrevet 22. mars 2017 Var ikke overraska over at noen greidde å trenge seg ut av en virtualisert maskin igjen... Er heller overraska over at ingen gadd å prøve seg ein gong på Apache med topppremie på 250 000 USD. 1 Lenke til kommentar
Bytex Skrevet 22. mars 2017 Rapporter Del Skrevet 22. mars 2017 (endret) De gjør det også for å bevise at de har full åpenhet og ikke skjuler bakdører for cia og slikt Endret 22. mars 2017 av Bytex Lenke til kommentar
Kikert Skrevet 22. mars 2017 Rapporter Del Skrevet 22. mars 2017 Det er litt sprøtt at de må betale nesten en million for å få tettet noen få hull. Framfor å sjekke koden selv. Tenk på alle de andre hull som ikke ble tatt tak i denne gang? Det er sikkert noen igjen som kineserne ikke oppdaget, men kanskje NSA eller Russland vet om. Det er en konkurranse så det var ikke en betaling for å få tettet hullene, de fikk premie for å klare bragden. Det er muligens dyrere å betale lønninger for å sjekke koden og i en konkurranse så har man vel en annen motviasjon(?). Lenke til kommentar
3VOEADCN Skrevet 27. mars 2017 Rapporter Del Skrevet 27. mars 2017 1e5$ er mye, men visse myndighetsorganer hadde kanskje betalt enda mer for sånne funn. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå