Подведены (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2O...) итоги (http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2O...) соревнования Pwn2Own 2014, проведённого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей, которые привели к успешному выполнению кода атакующего в системе. Мероприятие получилось как никогда насыщенным победами - за два дня соревнований сумме было выплачено 850 тысяч долларов вознаграждений.- Продемонстрирована одна успешная атака на браузер Chrome, за которую выплачена премия в размере 100 тысяч долларов. Демонстрация второй атаки не была завершена успешно, но за разработанную технику автору выплачено вознаграждение в размере 60 тысяч долларов. Примечательно, что компания Google по горячим следам уже выпустила обновление браузера Chrome 33.0.1750.154, в котором устранила (http://googlechromereleases.blogspot.ru/2014/03/stable-chann...) четыре опасные уязвимости, сочетание которых позволило обойти многоуровневую систему защиты.
Например, в первой атаке была использована уязвимость (Use-after-free в движке Blink), позволяющая обойти ограничения sandbox, в сочетании с уязвимостью в реализации буфера обмена Windows. Во второй атаке была задействована проблема, приводящая к выходу за пределы буфера в движке V8, в сочетании с ошибкой, позволяющей осуществить произвольные операции записи и чтения в ФС.
- В отдельном соревновании (https://www.opennet.ru/opennews/art.shtml?num=38926) Pwnium, спонсируемом Google, были представлены (http://googlechromereleases.blogspot.ru/2014/03/stable-chann...) две атаки на Chrome OS. Первая атака впервые за время существования соревнования привела к возможности сохранить данные атакующего между перезагрузками, при эксплуатации уязвимости в гостевом режиме через открытие специально оформленной страницы в Web. Победителю вручена премия в 150 тысяч долларов. В процессе атаки были задействованы четыре новые уязвимости, из которых одна признана критической.
Вторая атака была представлена на уровне концепции и была основана на применении двух новых уязвимостей, которые приводили к повреждению памяти в буфере GPU и возможности записи данных за пределы буфера в драйвере GPU. Автору техники атаки вручена премия в размере 60 тысяч долларов.
- Продемонстрированы четыре успешные атаки на Firefox, создатели которых получили премии в размере 50 тысяч долларов.
- Две успешные атаки были подготовлены для Apple Safari, за первую выплачена премия в 65 тысяч долларов, а за вторую $32500.
- Взлом Internet Explorer был продемонстрирован три раза, создатели эксплоитов получили две премии по 100 тысяч долларов и одну в 50 тысяч долларов.
- Две успешные атаки были показаны для Adobe Flash и одна для Adobe Reader, авторы эксплоитов получили премии по 75 тысяч долларов.
Во всех случаях атаки были совершены при обработке в браузере специально оформленной web-страницы (или открытие документа в Adobe Reader), открытие которой завершилось получением полного контроля над системой. При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем со всеми доступными обновлениями в конфигурации по умолчанию. В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением указанных уязвимостей.
URL: http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2O...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39320
С продуктами Adobe все предсказуемо
Кк и с продуктами гугла и мозиллы, а именно: все продуткты имеют уязвимости.
адобе обычно ждёт активной эксплуатации дыры, а гугель дыры эти активно ищет, легально поощряя хакеров за найденное. всё-таки есть разница
Запускать приложения на дырявой винде и выплачивать бабло это такое хобби?
Ну надо же как-то это решeто прикрыть. Сменить ОС - не юникс вей (работает - не трогай), значит, надо просто по-быстрому заштукатурить самые большие дыры, в частности, браузеры.
> юникс вей (работает - не трогай)тык вот значит что такое unix way!
:-)
Именно так. Ломать-улучшать-заменять то, что работает и так - первый признак леннарта.
Велосипедизм без причины -- признак поттерчины?
Не только. Смена ОС, которая и так худо-бедно работает, на что-то более "крутое" и "модное" - тоже поттеринг в терминальной стадии.
> Запускать приложения на дырявой винде и выплачивать бабло это такое хобби?Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.
Капитан поддельный.
IE для других платформ не существует.
В IE найдено меньше дыр чем в фоксе )) Но мы этот факт признать не можем и даже не замечаем.
Тот факт, что IE проприетарное ПО с закрытым кодом, а исходники FF доступны всем, мы не учитываем?
> Тот факт, что IE проприетарное ПО с закрытым кодом, а исходники FF
> доступны всем, мы не учитываем?Разница на уровне конечного результата лично от меня ускользает.
> Разница на уровне конечного результата лично от меня ускользает.А это просто: часть дыр могла оказаться не обнаруженной. Их искать дольше. Поэтому в рамках соревнования перспективнее налечь на лису и хром. Но это не значит что блэкхэты дыры не найдут. Потому что ботнет из 30-40% компов - это огого, как ни крути. А т.к. MS за репорты уязвимостей не платит, да еще месяц тормозит с апдейтами - для блэкхэтов выгодная мишень получается.
"правильнее", возможно так - выгодно не демонстрировать дыры на конкурсах, а "снимать бабло" с упрямых виндолюбов ;)
их же много..., а если в корпорастивной среде - это праздник для шпионов :)
> В IE найдено меньше дыр чем в фоксе )) Но мы этот
> факт признать не можем и даже не замечаем.Как насчет признать факт "найдено" != "существует"?
> Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.дыры в приложении не в последнюю очередь зависят от API системы, так что смена операционки таки влияет :)
> дыры в приложении не в последнюю очередь зависят от API системы,Штуки типа переполнений буферов или слабой валидации данных не особо зависят от системы.
>> дыры в приложении не в последнюю очередь зависят от API системы,
> Штуки типа переполнений буферов или слабой валидации данных не особо зависят от системы.А вот то, что можно сделать после заливки шеллкода - очень даже зависит.
Они скорее зависят от конфигурации системы, причём, судя по условиям конкурса, от дефолтной.
Хотя, если, например, включить ASLR и собирать браузер с -fstack-protector, то на linux можно получить гораздо лучшую защищённость от переполнений. Не знаю, как с этим дела в Win, может, у них тоже что-то такое есть.
влияет на последствия эксплуатации дыры в приложении
Угу, влияет только на результат их использования...
ну почему-же. вот к примеру в прошлом году, взломать праузер chrome удалось только благодаря дыре в винде...
> Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.да, но виндах ты получишь шелл с правами админа, в линуксе - шелл с правами того пользоватля, от имени которого запущенно приложение.
>> Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.
> да, но виндах ты получишь шелл с правами админа, в
> линуксе - шелл с правами того пользоватля, от имени которого запущенно
> приложение.Ты неадекват. Там что, неясно написано о повышении доступа?
И что, сложность повышения привилегий уже не зависит от системы? Специалисты, блин...
> Ты неадекват. Там что, неясно написано о повышении доступа?Повышение доступа с полпинка - фирменная фича винды. В линуксах такое находят редко, а закрывают быстро.
> да, но виндах ты получишь шелл с правами админа, в линуксе - шелл с правами
> того пользоватля, от имени которого запущенно приложение.Это как правило всех устраивает: можно умыкнуть данные пользователя + запустить проксики/спамеры/ддос-ботов и прочая. Рут для этого не требуется.
Проксики/спамеры/ддос-боты, запущенные от простого пользователя, очень легко находятся и вычищаются. В отличие от.
> Проксики/спамеры/ддос-боты, запущенные от простого пользователя, очень легко находятся
> и вычищаются. В отличие от.«обычный пользователь» гордится тем, что даже задницу сам вытереть не может, какое там «находятся и вычищаются»… люди, гордящиеся агрессивным нежеланием что-либо знать — очень вкусная еда.
(uid > 0) != "гордиться агрессивным нежеланием что-либо знать"
меньше тупим. йод кушаем, рыбу, для мозга полезную.
Приятного аппетита!
> Запускать приложения на дырявой винде и выплачивать бабло это такое хобби?В самых сильных странах сильно развита наука. Делать фантазийную ерунду, и получать за это деньги. Да. Это оно. Это части науки. И это самое очень сильно ценится.
> В самых сильных странах сильно развита наука. Делать фантазийную ерунду, и получать
> за это деньги. Да. Это оно. Это части науки. И это
> самое очень сильно ценится.правда, извращённый секс с виндой в странные отверстия ни разу не наука. но с точки зрения обывателя всё ему непонятное — это или наука, или магия (что, опять же, для обывателя одно и то же).
> правда, извращённый секс с виндой в странные отверстия ни разу не наука.
> но с точки зрения обывателя всё ему непонятное — это или
> наука, или магия (что, опять же, для обывателя одно и то
> же).Все обыватели так говорят. :)
И обывателю и платят меньше, говорят что именно делать, где место. ;)Отличная книжка - Трудно быть богом, Аркадий и Борис Стругацкие. Ещё и кино есть, теперь.
Не знаю, как правильно - с заглавной ли. Но, вроде, не та грань. Или та... В любом случае, там есть человек по имени Будах. Какого-то лешевого заинтересовашийся такой фигнёй как: чему ж таки равно отношение длины окружности к радису. Вот уж ерундой-то занимался. ;)
скажи, ты таким дураком уже родился, или это приобретённое, от того, что тебя в детстве много по голове били? я зачем интересуюсь: статистику собираю.
Ну вот, снова все о том, что все плохо (у них) :(
Вот вы лучше скажите как в Linux практически безопасно просматривать страницы.
Неужели придется ставить несколько (виртуальных) машин. На одной открывать в браузере страницы, вторая читает изображение с экрана первой, с картинки OCR вибирает текст и передает по ssh третьей машине, третья проверяет орфографию и грамарнаци, далее передаем все что осталось на четвертую, которая проверяет остался ли текст в документе (если остался делает cat /dev/null >/путь/2/текстовый_документ ), и (о) на конец таки, ставим Qubies OS и вот в ней то можем спокойно открыть этот документ ;)
Наслаждаемся чистотой документа!
Столлман (примерно) так и делает :)
> Столлман (примерно) так и делает :)У него мощи процессора не хватит на столько виртуалок. Интернет использует, но Иксы он запускает от случая к случаю. Да, он ярко выделяется.
>> Столлман (примерно) так и делает :)
> У него мощи процессора не хватит на столько виртуалок.:-) Мне хватает.
(ответ на вопрос о том, не Столлман ли, возможно навсегда останется неизвестным)...
> Столлман (примерно) так и делает :)Неа. У Столмана есть верные ученики, которые за него читают интернет, анализируют полученные сведения, готовят доклад, зачитывают ему, выслушивают его мнение, а потом распространяют это мнение в интернете. Весьма секурный подход, надо сказать :)
>На одной открывать в браузере страницы, вторая читает изображение с экрана первой, с картинки OCR вибирает текст и передает по ssh третьей машинеУ тебя в голове что-то сломалось.
Не проще ли телнетом или wget запросить нужную страницу, а потом простеньким скриптом выкусить теги?
У тебя есть гарантия неуязвимости этого простого скрипта? Что он при любых входных данных правильно выкусит только тэги, а не половину страницы или, тем более, рухнет и приведёт к запуску произвольного кода? Когда имеешь дело с паранойей, то ты никогда не можешь быть уверен.
>У тебя есть гарантия неуязвимости этого простого скрипта?Да. Скрипт может и сгрызёт часть полезной информации при специальным образом сгенерированной странице, но ни при каких обстоятельствах этот скрипт не поможет злоумышленнику получить доступ к твоей машине.
Ты даже сможешь запускать его лишь погасив все внешние интерфейсы...
Так что твой внутренний параноик может быть доволен.
Чушь несёшь. Кривая страница может оказаться некорректно обработана скриптом и вызвать уязвимость в коде одного из вызываемых скриптом приложений. Представь, что за тобой следят и искать будут уязвимость именно в твоём способе просмотра страниц. Кстати, я сказал «представь»?
Да вдумайся ты в суть задачи!
Да там даже на плюсах получится 2 десятка строк кода.
Я уверен, что смогу написать 20 строк так, чтобы никакая страница не могла ничего поломать.
Кстати, есть Lynx. Картинки не отображает, JS не исполняет, как и Flash. Даже кукизы спрашивает сохранять или нет.
> Кстати, есть Lynx. Картинки не отображает, JS не исполняет, как и Flash.
> Даже кукизы спрашивает сохранять или нет.Минимализм - еще не гарантия защищенности. Например, выполнение произвольного кода через парсер URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2810
> Да вдумайся ты в суть задачи!
> Да там даже на плюсах получится 2 десятка строк кода.
> Я уверен, что смогу написать 20 строк так, чтобы никакая страница не
> могла ничего поломать.Излишняя самоуверенность - путь к провалу.
Плюсы - это такой язык, что даже гуру с 20-летним опытом может наступить на детские грабли в паре строчек.
> Вот вы лучше скажите как в Linux практически безопасно просматривать страницы.начни с разработки своего железа. и делом займёшься, и глупости больше писать не будешь.
Безопаснее всего их просматривать с расстояния метров 10 от монитора и даже дальше (если монитор действительной огромный). Идеи более опасны и заразительны, чем самые опасные компьютерные вирусы.
> Безопаснее всего их просматривать с расстояния метров 10 от монитора и даже
> дальше (если монитор действительной огромный). Идеи более опасны и заразительны, чем
> самые опасные компьютерные вирусы.Согласен, мысли очень даже материальны! Так что поосторожнее с ними нашем мире! Иначе и осколочков не соберете :(
Основная проблема безопасности браузеров заключается в существовании JavaScripts, Adobe Flash и плагинов.В принципе, есть некоторое подмножество веба, которое спокойно без этого обходится. Так что если Вы не сильно хотите развлечений и интернет-покупок, то можете смело пользоваться исключительно консольными браузерами.
"выкидывание js+flash" и "консоль" это таки немного разные вещи.Первое, увы, не безопасно. А второе многого не отображает, увы.
И вообще, тема с безопасным запуском прог в Xorg не раскрыта.
> Первое, увы, не безопасно. А второе многого не отображает, увы.И тоже не безопасно, кстати.
> Основная проблема безопасности браузеров заключается в существовании JavaScripts, Adobe
> Flash и плагинов.
> В принципе, есть некоторое подмножество веба, которое спокойно без этого обходится. Так
> что если Вы не сильно хотите развлечений и интернет-покупок, то можете
> смело пользоваться исключительно консольными браузерами.Любопытно, почему интернет-покупки столь основаны на именно дырявых и опасных баузерах?
>:-)
> Вот вы лучше скажите как в Linux практически безопасно просматривать страницы,корень в ro монтировать ?
глянуть ps -A какие приложения с какими привелегиями запущенны ?
noexec на домашний каталог ? >/путь/2/текстовый_документ ), и
> (о) на конец таки, ставим Qubies OS и вот в ней
> то можем спокойно открыть этот документ ;)
> Наслаждаемся чистотой документа!
>> Вот вы лучше скажите как в Linux практически безопасно просматривать страницы,
> корень в ro монтировать ?
> глянуть ps -A какие приложения с какими привелегиями запущенны ?
> noexec на домашний каталог ? >/путь/2/текстовый_документ ), и
>> (о) на конец таки, ставим Qubies OS и вот в ней
>> то можем спокойно открыть этот документ ;)
>> Наслаждаемся чистотой документа!Спасибо. А где можно глянуть (почти) полный список? Или каким запросом google-ить?
Лучше начинать с простеньких примеров (они и реализуются проще).
Зачем гугл? То, что он написал - элементарные задачки. Это знает почти любой линуксоид. Проблема в том, что монтирование корня в ro лишит тебя обновлений и по сути будет просто играть роль плацебо. Плюс, не учтено, что перемонтировать корень в режим rw тоже возможно, если получить права рута. Единственное спасение в таком случае - записать основные каталоги типа /usr на флеш-накопитель с аппаратным запретом записи. И изредка включать режим записи для загрузки обновлений безопасности.Запрет исполнения скриптов в домашнем каталоге тоже особо много не даст. Есть обходные способы запуска программ. Даже тот же запуск любой проги через скрипт.
/bin/bash ./hi.shВ принципе можно обезопасить себя простой настройкой AppArmor и SELinux. С помощью них можно полностью запретить доступ браузера к файловой системе, а также ограничить его системные вызовы, исключив из них потенциально опасные, которые он вызывать не должен.
Всё это вполне реализуемо, но потребует около месяца ежедневной работы.
> получить права рута. Единственное спасение в таком случае - записать основные
> каталоги типа /usr на флеш-накопитель с аппаратным запретом записи. И изредка
> включать режим записи для загрузки обновлений безопасности.Где то валяется flash-ка с переключателем на ro. Всего 128MB. Но можно какой нибудь простенький Linux туда поставить (все руки не дойдут :(
А сейчас видимо такие флехи не модны, и найти их проблематично (хотя кто ищет, ...)
А какой смысл? Если ты задаёшь такие вопросы, значит по части безопасности не разбираешься. Как бы ты ни настраивал, всё равно не учтёшь многих вещей просто потому, что чего-то не знаешь. Ставь Винду, антивирус, настраивай файервол и радуйся жизни. Или работай с LiveDVD, записанным на R-ку. Тормозит, неудобно, бессмысленно, но почти безопасно.Кстати, такая флешка больше подходит для использования на чужих компах с виндой, если кому-то что-то скопировать нужно, т.к. они потенциально могут быть заражены вирусами.
> А какой смысл? Если ты задаёшь такие вопросы, значит по части безопасности
> не разбираешься. Как бы ты ни настраивал, всё равно не учтёшь
> многих вещей просто потому, что чего-то не знаешь. Ставь Винду, антивирус,
> настраивай файервол и радуйся жизни. Или работай с LiveDVD, записанным на
> R-ку. Тормозит, неудобно, бессмысленно, но почти безопасно.
> Кстати, такая флешка больше подходит для использования на чужих компах с виндой,
> если кому-то что-то скопировать нужно, т.к. они потенциально могут быть заражены
> вирусами.Вопросы задаю для поддержания дискуссии.
Да, всего не учесть, особенно когда многого не знаешь. Но простые методы могут быть достаточно эффективны.
На винду вернутся, это вряд ли, подташнивает (и чем дальше, тем больше ;) (хотя для того что бы получить порцию острых ощущений, можно разик в пол года - год пощекотать себе нервы).
LiveDVD, да в гостях, наверное лучше RW и CD-RW (обновленную версию с чистого листа лучше и быстрее накатить и трафика меньше). Дома лучше клонировать чистую виртуалку и работать каждый раз с чистого листа.
Виртуалка - потеря производительности. Она больше подходит для разработки и для экспериментов. Для безопасности - на крайний случай. К тому же, уязвимости есть и в средствах виртуализации.На Линухах очень не хватает автоматизированного эвристического средства слежения за процессами. Пусть даже опционального и отбирающего процентов ~20 производительности, терпимо. И ведь программно всё для создания такой программы уже есть.
> На Линухах очень не хватает автоматизированного эвристического средства слежения за процессами.
> Пусть даже опционального и отбирающего процентов ~20 производительности, терпимо. И ведь
> программно всё для создания такой программы уже есть.Как показывает практика, антивирусы (на которые вы намекаете) мышей не особо ловят. Помогает только сигнатурный анализ, и только против тех, кто уже есть в базе.
А вся "эвристика" в них настолько примитивна, что с лихвой покрывается функциональностью SELinux (который вы наверняка изучать не собираетесь).
Собираюсь, почему же. Так или иначе придётся по работе примерно через год. А до этого буду изучать AppArmor, для другого рода задачек.И для SELinux политику на каждое приложение не напишешь. На пару тройку наиболее опасных - да.
Под Эвристикой я другое подразумевал. Скажем так, запускается приложение, ты ему задаёшь один из базовых профилей, включающий в себя набор правил. В случае отклонений от профиля, должно выдаваться предупреждение с подробным логом действий и возможностью для ручного анализа активности.
> Под Эвристикой я другое подразумевал. Скажем так, запускается приложение, ты ему задаёшь
> один из базовых профилей, включающий в себя набор правил. В случае
> отклонений от профиля, должно выдаваться предупреждение с подробным логом действий и
> возможностью для ручного анализа активности.внизапна… впрочем, не буду портить сюрпризы.
Подразумевались интерактивные средства. Понятно, что по сути я описал SELinux и AppArmor. Но ещё бы неплохо, чтобы возможно было сопоставлять активность приложений некоторой примерной последовательности действий.
у меня есть подозрение, что тут как обычно всё: пока сам себе хорошо не сделаешь, никто не сделает.
> Подразумевались интерактивные средства. Понятно, что по сути я описал SELinux и AppArmor.
> Но ещё бы неплохо, чтобы возможно было сопоставлять активность приложений некоторой
> примерной последовательности действий.Написать гуй для ausearch/aureport/autrace - задача несложная. Видимо, никому, кроме вас, эта хотелка не уперлась.
Просто потому, что отклонение работы программы от профиля уже само по себе является свидетельством ошибки или вредоносной активности. А для этого средства уже давно есть, в том числе гуевые.
Смеётесь? Запускать все процессы через autrace? Но за информацию об утилитах спасибо, не знал о существовании таковых.
> Смеётесь? Запускать все процессы через autrace? Но за информацию об утилитах спасибо,
> не знал о существовании таковых.Спасибо всем за инфу. Для начала думаю достаточно. Надеюсь (надеюсь) никогда не пригодится ;)
> Смеётесь? Запускать все процессы через autrace? Но за информацию об утилитах спасибо,
> не знал о существовании таковых.Я вам еще более страшную тайну открою: погуглите про setroubleshootd. А в федоре к нему даше графические уведомления прикрутили.
> Виртуалка - потеря производительности. Она больше подходит для разработки и для экспериментов.
> Для безопасности - на крайний случай. К тому же, уязвимости есть
> и в средствах виртуализации.
> На Линухах очень не хватает автоматизированного эвристического средства слежения за процессами.Не, не, не, постоянно всплывающих окон с надписями "Программа выполнила невыполнимое, и допустила недопустимое" мне не нужно (ну вот снова тошнить начинает ;)
> Пусть даже опционального и отбирающего процентов ~20 производительности, терпимо. И ведь
> программно всё для создания такой программы уже есть.SAMHAIN http://www.la-samhna.de/samhain/
Да?
Нет. Тоже самое, что по крону запускать rkhunter вместе с tripwire. Совсем не то.
Это сигнатурный анализ. Который, если верить дяде Жене К., важен не менее эвристического.
Строго говоря, взлом Chrome OS - это не взлом, а освобождение =)
Jailbreak?
>> Примечательно, что компания Google по горячим следам уже выпустила обновление браузера Chrome 33.0.1750.154, в котором устранила четыре опасные уязвимостиЕсть соммнение в патчах
> ....проблема, приводящая к выходу за пределы буфера в движке V8Боже, что за придурки пишут на сях в 21 веке!!
>> ....проблема, приводящая к выходу за пределы буфера в движке V8
> Боже, что за придурки пишут на сях в 21 веке!!Те, благодаря которым ты написал это сообщение с той операционки, на которой сидишь.
>> ....проблема, приводящая к выходу за пределы буфера в движке V8
> Боже, что за придурки пишут на сях в 21 веке!!к счастью, не ты.