CDR SecUpdate 11 - Všechny velké prohlížeče podlehly hackerům v soutěži Pwn2Own
Chyby v softwaru
Všechny velké prohlížeče pokořeny na Pwn2Own 2014
Týká se: prohlížeče ve "velké čtyřce"
Na letošním ročníku soutěže Pwn2Own, která pravidelně doprovází hackerskou konferenci CanSecWest, podlehly programátorům exploitů (kódů zneužívajících zranitelnost) všechny prohlížeče z velké čtyřky. Celkem 4 zásahy úspěšného zneužití si připsala Mozilla Firefox, v závěsu byl Google Chrome a po dvou úspěšných pokusech zneužití si odnáší také Safari a Internet Explorer.
Exploitace na soutěži zpravidla zahrnuje zneužití zranitelnosti (často více najednou v kombinaci) kódu prohlížeče k zisku administrátorských práv na systému. Již tradičně je na soutěži velmi úspěšná firma VUPEN, která letos během dvoudenní soutěže uspěla celkem pětkrát, za což si šéf firmy Chaouki Bekrar na odměňovacích programech odnesl z Vancouveru necelých 400 000 dolarů (cca 8 miliónů korun). Nejen kvůli úspěchu VUPENu jej vyzpovídal Michael Mimoso z Threatpost.com a Bekrar tak znovu světu popsal princip své práce.
VUPEN tým, vlevo Chaouki Bekrar
Vupen do roku 2010 pracoval stylem typických white-hat hackerů. To znamená, že všechny odhalené zranitelnosti poslušně firma hlásila ihned vendorům. Bohužel to byl v té době moc pokrokový přístup a většina vendorů podle Bekrara neměla výhodně nastavené programy odměn za nahlášené chyby, případně odmítala odměňovat úplně. Z finančního hlediska proto bylo výhodnější poskytovat exploity zákazníkům, k čemuž se VUPEN vzápětí uchýlil. Od té doby distribuuje pod silným NDA exploity do své sítě odběratelů, která zahrnuje i několik vlád NATO, a podle všeho vydělává těžký balík.
“Věřím, že naše odvětví je dnes normální byznys,” říká Bekrar. “Hodně firem, většina ve Spojených státech, teď dělá stejný výzkum jako VUPEN a prodává jej vládním zákazníkům. Je to běžná věc, nic překvapivého. […] Žádný z našich exploitů nikdo nikdy na internetu neobjevil. Všichni naši zákazníci používají naše exploity cíleným způsobem pro specifické mise národní bezpečnosti.”
Jaké takové “specifické mise” mohou být se můžeme jen domnívat, každopádně předmět tohoto obchodu - exploit - můžeme s čistým svědomím přirovnat ke zbrani v kybernetickém světě. Narozdíl od krásně provedené Winchestrovky si ale exploit proti Firefoxu těžko vystavíte na své lovecké chatě. Na druhou stranu můžeme spekulovat o využití exploitů k obraně vlastní sítě - budu se bránit proti státu X, který je v odběratelské síti VUPENu stejně jako já. Odběratelé se tak mohou držet v šachu, kdo je mimo tento kruh má smůlu => VUPEN bohatne. Zvláštní svět.
Zabezpečení prohlížečů se však nejen podle VUPENu rok od roku zlepšuje o několik úrovní. “Chybu Firefoxu, kterou jsme dnes použili, jsme našli pomocí fuzzingu [technika (polo)automatizovaného testování softwaru na nestandardní data, pozn. red.], ale potřebovali jsme 60 miliónů testovacích případů. To je velké číslo,” řekl Bekrar pro Threatpost. “To dokazuje, že Firefox odvedl dobrou práci v záplatování děr; to samé Chrome. Chrome má nejsilnější sandbox, takže je pro něj ještě těžší vytvářet exploity.”
Na soutěži také VUPENu podlehl Adobe Reader a Flash v Internet Exploreru 11 na aktualizovaném Windows 8.1 64bit. Každý exploit ocenili lidé z Adobe na 75 000 dolarů (cca 1,5 miliónu korun).
Zajímavosti: Po úspěšném zneužití chyb, které probíhá živě na konferenci, jdou výzkumníci a vendoři na první mítink do tzv. Chamber of exploits (komnata exploitů), kde dohadují finanční odměny a podepisují NDA. | Letošního ročníku Pwn2Own se mimo jiné zúčastnil také George Hotz, který je známý především moddingem Playstationu a mobilního iOSu od Applu, kde údajně chvíli pracoval. Úspěšně letos pokořil Firefox a odnesl si 50 000 dolarů (1 milión korun). | Soutěž sponzoruje a pomáhá organizovat přes iniciativu Zero Day Initiative firma HP.
Novinky a Události
FireEye a Mandiant vstupují na český trh
Expert na pokročilé hrozby, firma FireEye, vstoupila oficiálně na český trh. FireEye začátkem roku oznámil akvizici expertů na incident response - firmy Mandiant, která je u nás známá především díky svému reportu APT One publikovanému začátkem minulého roku ohledně čínské špionáže v amerických firmách. Díky akvizici, která podle oficiálního vyjádření pramení z dlouhodobé spolupráce, vzniká skutečně zajímavý subjekt, který bude bez pochyby specialistou na pokročilé hrozby a incident response.
Zleva: Zakladatel FireEye Ashar Aziz, Nasdaq CEO Robert Greifeld a FireEye Chairman of the Board, David DeWalt, FOTO: Reuters
FireEye je známá především pro svůj hypervisor, který tvoří jádro enginu MVX (Multi-Vector Virtual Execution). Jak se FireEye s konzultační skupinou Mandiantu na českém trhu povede, je otázka, určitě budeme počínání firmy sledovat.
Zuckerberg je naštvaný z praktik NSA, jaká ironie
Spoluzakladatel Facebooku a jeho CEO, Mark Zuckerberg, vyjádřil na své stránce nelibost k aktuálnímu přístupu NSA ke kauzám zásahu do soukromí. Jak píše Dennis Fisher, je sice vcelku úsměvné číst stížnosti na zásahy do soukromí od šéfa firmy, která obchoduje s osobními informacemi, ale na druhou stranu je v “hlase” Marka cítit znepokojení a bezradnost.
Těžká doba dohnala Marka mimo jiné k tomu, že si zavolal s prezidentskou kanceláří Baracka Obamy, který mu náladu rozhodně nezlepšil. Podle všeho NSA ani neplánuje nijak výrazně změnit své chování. Veřejné odhalení některých praktik evidentně není dostatečný důvod ke změně. Bezradnost přiměla Fishera ke komentáři internetového světa, kde si nebral servítky, mohli bychom jej označit až za buditelský:
“Internet je zatím rozbitá, kompromitovaná reklamní platforma, která je dobrá akorát na obrázky kočiček a GIFů hloupých celebrit dělajících hlouposti. A je to fajn, pokud je to internet, jak jej chcete. Ale pokud stojíte o něco, co je trochu více užitečné a použitelné a bezpečnější, bude to stát mnoho úsilí. Bezpečnost je náročná a bezpečnost ve velikosti internetu je podle všeho extrémně náročná.”
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
Díly CDR Security Update SPECIÁL
Diskuse ke článku CDR SecUpdate 11 - Všechny velké prohlížeče podlehly hackerům v soutěži Pwn2Own