Первый день соревнований Pwn2Own, проводимых ежегодно в рамках конференции CanSecWes (http://cansecwest.com/), оказался (http://www.scmagazine.com.au/News/335750,chrome-firefox-ie-10-java-win-8-fall-at-pwn2own-hackfest.aspx) как никогда плодотворен, - были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Chrome, Firefox, IE 10, Windows 8 и Java. Во всех случаях атака была совершена при обработке в браузере специально оформленной web-страницы, открытие которой завершилось получением полного контроля над системой. При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем Windows 7, 8 и Mac OS X Mountain Lion со всеми доступными обновлениями в конфигурации по умолчанию.
В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением указанных уязвимостей. Отчасти успех Pwn2Own в этом году связан с существенным увеличением (http://www.opennet.me/opennews/art.shtml?num=35964) суммы вознаграждения. Например, за демонстрацию взлома браузера Chrome будет выплачено вознаграждение в 100 тысяч долларов, за взлом IE - 75 тысяч долларов, за взлом Firefox - 60 тысяч долларов, за взлом Safari - 65 тысяч долларов, за взлом IE через плагин Adobe Reader XI - 70 тысяч долларов, за взлом плагинов Adobe Flash и Java по 20 тысяч долларов. Одновременно будет проведено смежное соревнование Pwnium, на котором будет предложено взломать Chrome OS на устройстве Samsung Series 5 550 Chromebook. Общий призовой фонд Pwnium составит 3.14159 млн долларов, а сумма максимального вознаграждения - 150 тысяч долларов.Что касается техники уже продемонстрированных взломов, то для Firefox была эксплуатирована новая уязвимость, связанная с обращением к уже освобождённой области памяти (use-after-free), в сочетании с новой техникой обхода всех дополнительных механизмов защиты операционной системы Windows 7, таких как DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). Взлом Windows 8 был продемонстрирован на планшете Surface Pro через эксплуатацию двух 0-day уязвимостей в Internet Explorer и новую технику выхода за пределы sandbox. Атаки были продемонстрированы компанией Vupen Security (http://www.vupen.com/english/). Плагин Java был атакован участниками конкурса, работающими в компаниях Accuvant Labs, Contextis и Vupen, через эксплуатацию уязвимости, приводившей к возможности переполнения кучи.
Взлом Chrome продемонстрировали Nils и Jon Butler, исследователи из компании MWRLabs. Для проведения атаки на Chrome был подготовлен многоуровневый рабочий эксплоит, использующий 0-day уязвимости в ОС для обхода ограничений sandbox в сочетании с уязвимостью в процессе рендеринга браузера. Обход sandbox был организован через эксплуатацию уязвимости в ядре, позволяющую выполнить код вне изолированного окружения с системными привилегиями Windows. Для обхода ALSR использовалась утечка некоторых адресов в памтяти, по которым был вычислен базовый адрес системной DLL. Для обхода DEP из DLL было прочитано и преобразовано в строку JavaScript содержимое сегмента .text, на основе которого были рассчитаны адреса для ROP (Return-Oriented Programming).
URL: http://www.scmagazine.com.au/News/335750,chrome-firefox-ie-10-java-win-8-fall-at-pwn2own-hackfest.aspx
Новость: http://www.opennet.me/opennews/art.shtml?num=36328
а что за версии браузеров и флеша?
Написано же "При демонстрации атаки использовались самые свежие стабильные выпуски браузеров..."
Ну и что это значит? Какие? За один день взломали все это?
Написано же что продемонстрировали просто. А поиск и работа над эксплойтом занимает месяцы.
самые свежие на момент взлома, сейчас они уже старые.
Свежие на момент демонстрации взлома.
Первый день мероприятия был вчера? Ну вот значит на вчерашний день.
вопрос вдогонку: что за Java была взломана? чё прям JVM???!!111или школьникам только изветное название интересно?
> а что за версии браузеров и флеша?Значит так, FireFox 3.6, Chrome 11, ... :)
Вы думаете, за взлом старых браузеров будут давать деньги?
Будут,
но только не старых, а новых.
И не деньги, а срок.
ну и какие конкретно?
> ну и какие конкретно?Последние на момент мероприятия.
Если интересно, не поленитесь зайти на сайты этих продуктов и посмотреть changelog.
Узнаете точно, какие версии тогда были последними.
то есть более ранние не подвержены взлому? только по одной версии от каждого браузера?
> то есть более ранние не подвержены взлому?Однозначно сказать нельзя.
Надо читать описание каждой уязвимости, там обычно пишут, какие версии подвержены.
Если вам нужно точно знать, не поленитесь уже зайти и прочитать самому.> только по одной версии от каждого браузера?
Да.
Предполгается, что последняя версия - самая защищенная.
Керенки, разумеется...
Видео будет ?
Интересно, на таких состязаниях взламывают теже программы на линуксе?
Понятно что взломали Файрфокс и виндовс, но это стало возможным из-за уязвимостей в операционной системе или сам ФФ виноват что допустил такое?
А линукс они пробуют ломать или нет? Почему об этом не пишут никогда?
Ну почему же? Раньше был и линух (в виде убунты)
http://www.opennet.me/opennews/art.shtml?num=15021
Написано же в заголовке — хром, лиса, осёл и ява
В пингвине кроме их песочниц есть ещё пингвинья песочница, которую обойти куда сложнее форточной, ибо прав на доступ куда попало ни у чего нет, в отличие от. К слову, в макоси с этим тоже более грамотно, чем в форточке. А не пишут потому, что ни FSF ни GNU ни LF не дают по три лимона за ломание их продуктов.
> Написано же в заголовке — хром, лиса, осёл и яваКстати, почему яву в заголовке к браузерам прировняли, а винды (и 7, и 8), которые ломанули гораздо более красиво, нет.
Или это уже само собой разумеющаяся аксиома?
Дело в том что хром, лиса, осёл и ява НА ВИНДАХ. И взлом мог быть успешен не только потому что сама программа с уязвимостью, но и из-за уязвимости операционки. А тут даже в заголовке, тень падает на ФФ и пр. а сам виновник в кустах.
И про невмероную крутозащитность линукса сказок не надо. Только факты. Когда покажут самого крутого в мире хакера, который помер от перенапряжения в попытках взломать линукс, вот тогда да, поверю. А так, несколько безопаснее, но на сколько граммов? Чем измерить, чтобы отсеять популярность/непопулярность, чтобы чисто технически?
Чисто технически - читайте описания патчей, закрывающих ошибки. Обобщенные - у виндов, точные - у линуксов. Сравнивайте. И, главное - никому другому в этом вопросе не верьте.
Иначе это будет не "чисто технически", а неизбежно пристрастно.
да да. мы помним как недавно в SuSe экстренно закрывали баг в ядре, который был закрыт в обычном ядре "проходя мимо" и без всякого комментария о проблемах с безопастностью.Помним и другие попытки заныкать информацию о дырах в changelog от ядра..
И помним что каждый раз при обновлении стабильного ядра - подчеркивают необходимость обновления, не указывая причины..Настораживает - что проблемы пытаются замолчать...
Одни популярно расписывают, какая теперь настала безопасность, не вдаваясь в конкретику. И вы можете настораживаться до посинения, но больше никакой информации не получите.Другие кратко советуют обновиться и тратят силы на работу, а не на пиар. А вы, если вас так настораживает этот вопрос, можете взять и посмотреть содержимое всех патчей, из которых состоит обновление.
Да действительно! как мы об этом раньше не подумали! а если нет такого патча - можно нап исать его, это же опенсорс!
Вы предлагаете всем стать ядропатчителями и программистами?
Не, Анонимам, конечно, легко быть спецами во всём.
Я не предлагаю всем становиться специалистами.
Я предлагаю тем, кто на это претендует, пользоваться теми возможностями, которые реально существуют, а не придумывать препятствия и заговоры, которых нет.
> Вы предлагаете всем стать ядропатчителями и программистами?Если у вас не хватает квалификации это делать - тогда, очевидно, есть смысл все-таки следовать советам тех у кого квалификации хватает. И обновляться вовремя.
Проблема в общем то в том что ынтырпрайзные конторы типа сусе/атачмейта вознамерились оказывать LTS-саппорт за бабосы. Не имея на это достаточной квалификации, позволяющей им понимать что является дырами а что нет и бэкпортить это. А виноваты, конечно же, ядерщики.
Есть немалая разница между подробным описанием черного ящика и открытой схемой работы.
> А так, несколько безопаснее, но на сколько граммов?Не нужно взвешивать граммы и придумывать объяснения.
Просто примите реальность как факт, такой, какая она есть.
:) Не пишут, потому что писать не о чем
> Интересно, на таких состязаниях взламывают теже программы на линуксе?Да, мне было бы интересно как они ломали LXC контейнер с хромом. Это было бы по крайней мере свежо.
> теже программыте же, ёпта
возможности переполнения кучи
переполнения кучи
кучи/WTF?
> возможности переполнения кучи
> переполнения кучи
> кучи
> /WTF?
> систем Windows 7, 8 и Mac OS X Mountain LionА где ubuntu?
за взлом убунты нет денег платить
Шаттлворт - жадина. :-p
Там же, где и Опера.
> Там же, где и Опера.Опера то чего, опера теперь вебкит. Ну и ей будет прилетать по тому же направлению что и гуглохром.
Вот типа грамотная статья. Все так. Но как соединить эти два взаимоисключающих понятия?>При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем
>сейчас на поиск уязуимости и написание эксплоита было потрачено несколько месяцевЗа несколько месяцев иные сменили по несколько версий!!!
да хоть по десятку, главное что работает в последних версиях
да. и что тут не понятного?уязвимости кочевали из версии в версию до текущей.
а народ это знал, но помалкивал чтобы сорвать джекпот.это же конкурс. если бы компании производители обнаружили бы эти ошибки и исправили до этого момента, то и финт бы не состоялся.
а в конкурсе должна быть интрига.
> уязвимости кочевали из версии в версию до текущей.
> а народ это знал, но помалкивал чтобы сорвать джекпот.
> ...
> а в конкурсе должна быть интрига.Судя по размерам гонораров, подозреваю интригу в виде пиара и распила.
не блин, в ОСях и браузерах дырки специально заложили! :D
кптн. очевидность подсказывает, что от смены версии баги не пропадают (особенно, если речь идёт о багах, не известных разработчикам)
Еще один капитан утверждает, что Джо неуловим, пока его никто не ищет.
это же очевидно - значит найденная тобой лично никому неизвестная ошибка кочует в софте из версии в версию и применима и к самой свежей. Вон некоторые уязвимости по десять и более лет живут и сквозняком проносятся через кучу версий (даже мажорных), пока их не обнаружат. Самое неприятное западло для таких исследований, наверное, это когда ты несколько месяцев готовился, писАл эксплойт, а в момент "релиза" очередная новая версия "жертвы" вдруг испортила всю малину (например, переписали нужный тебе кусок кода), причем, даже не специально.
кажется, технически все немного иначе, нежели упование на сохранность случайной уязвимости, тут месяцы не нужны. случаются ли там неудачи вообще?
> за взлом плагинов Adobe Flash и Java по 20 тысяч долларовНе ценят...
разорятся, если будут платить больше :-)
а linux был? или только венда?
только в 2008.
и убунту одну из всех так и не сломали. http://www.opennet.me/opennews/art.shtml?num=15021
в смысле дыры и в линуксовом флэше то были, но заюзать их дальше броузера так и не смогли.
Бросили они это неденежное и бесперспективное занятие.
> Слабой стороной Chrome называется Webkit.Странно. Что тут слабого?
Дыры в JavaScriptCore позволяющие для начала исполнять код с правами бразера ( который и файлы писать и плагины запускать умеет, и к видеодрайверу напрямую... )И последнюю альтернативу в виде Presto прибьют скоро :'(
Какой к чёрту JavaScriptCore, Хром использует свой движок V8.
> Какой к чёрту JavaScriptCore, Хром использует свой движок V8.Хотел сначала написать движёк JS потом подумал некошерно, открыл W по WebKit и скопировал, потом понял но подумал что не суть...
> Хотел сначала написать движёк......потом нашёл словарь русского языка, но словарное "движОк" не вызвал доверия?
Сломать программу на C/C++ легче всего. Обычно это связано с небезопасностью типов данных или с отсутствием парадигмы строгой типизации вообще, из-за чего появляется возможность подменить код выполнения сломанной программы на собственный и запустить инжектированный в данные код.Поробуйте сломать программу на Moduala-2 или Ada. Вот это будет действительно достижение.
> Сломать программу на C/C++ легче всего. Обычно это связано с небезопасностью типов
> данных или с отсутствием парадигмы строгой типизации вообще, из-за чего появляется
> возможность подменить код выполнения сломанной программы на собственный и запустить инжектированный
> в данные код.
> Поробуйте сломать программу на Moduala-2 или Ada. Вот это будет действительно достижение.Скорее сделать ошибки в программе на C проще всего....
Сломать программу которая скомпилированна и не делает финтов типа серилизации объектов вместе с кодом методов очень проблематично, тот же аппартаный DEP можно поломать только потому что сделана специальная дырка позволяющая помечать блок памяти как исполнимый из кода программы, но если изначально не пытаться запустить полученный процессом из вне код ( из БД к примеру длл-ку закачать под Win) то сломать DEP проблематично ( вы не сможете переполняя память записать данные в исполняемую область ).
А вот всякие jit компиляторы таких возможностей дают очень много
> Поробуйте сломать программу на Moduala-2 или Ada. Вот это будет действительно достижение.Такую программу НАЙТИ - уже достижение.
Кстати, немногие знают, но на С++ можно писать без хаков с типами данных.
Да, вообще без хаков. Да, рабочие программы.
Увы, ваши школярские жаргонизмы не оставляют надежды на полноценную дискуссию.
Не говоря уже о том, что человек, оспаривающий глупости, сам поневоле оказывается в глупом положении...
>>> Поробуйте сломать программу на Moduala-2 или Ada.
>>> Вот это будет действительно достижение.
>>
>> Такую программу НАЙТИ - уже достижение.
>> Кстати, немногие знают, но на С++ можно писать без хаков с типами данных.
>> Да, вообще без хаков. Да, рабочие программы.
> Увы, ваши школярские жаргонизмы не оставляют надежды на полноценную дискуссию.
> Не говоря уже о том, что человек, оспаривающий глупости, сам поневоле оказывается
> в глупом положении...Очень интересно. Товарищ пишет, затем сам себе отвечает, и называет свои же реплики "школярскими жаргонизмами".
> Очень интересно. Товарищ пишет, затем сам себе отвечаетЭто багофича отображения тредов с удалёнными комментариями -- там действительно была очередная феерическая глупость одного забеглого MS-бота с весьма характерной сигнатурой.
>Сломать программу на C/C++ легче всего. Обычно это связано с небезопасностью типов данных или с отсутствием парадигмы строгой типизации вообщеидиотизм.
новость не читай, мантру повторяй.зыж
народ юзает обращением к уже освобождённой области памяти (use-after-free) и heap overflow (в твоей жабе).
твоя жаба умеет динамические объекты?
вот и помалкивай.
т.к. на чём бы ты не писал, через сколько бы АОТ'ов не прогонял, а выполнятся будут инструкции конкретного цпу, а не жаба-код.
> Сломать программу на C/C++ легче всего. Обычно это связано с небезопасностью типов
> данных или с отсутствием парадигмы строгой типизации вообще, из-за чего появляется
> возможность подменить код выполнения сломанной программы на собственный и запустить инжектированный
> в данные код.
> Поробуйте сломать программу на Moduala-2 или Ada. Вот это будет действительно достижение.С модулы и ады код компилится в какой-то другой набор инструкций проца?В которых нет стека,с
аппаратным разграничением,контролем доступа к областям памяти?Если нет,то modula/ada/C/C++ находятся в одинаковых условиях.
> С модулы и ады код компилится в какой-то другой набор инструкций проца?В
> которых нет стека,с
> аппаратным разграничением,контролем доступа к областям памяти?Если нет,то modula/ada/C/C++
> находятся в одинаковых условиях.Дело в том, что в строго типизированных языках невозможно получить код, который ломается в рантайме от переполнения буфера, как это происходит в C/C++. Компилятор просто не сможет скомпилировать такой исходный код в инструкции процессора.
Для C/C++ проблема получения безопасного кода сегодня тоже решается на уровне компилятора, в который вводят элементы анализа утечек и неверного присвоения переменных. Но эти проблемы давно решены для строго типизированных языков ещё в 1960-х годах.
> Дело в том, что в строго типизированных языках невозможно получить код, который
> ломается в рантайме от переполнения буфера, как это происходит в C/C++.
> Компилятор просто не сможет скомпилировать такой исходный код в инструкции процессора.А что мешает придерживаться строгой типизации всех данных в программе на C/C++?
И держать контроль над указателями?
> Отсутствие дисциплины программирования у C/C++ программистовОбобщение известных вам частностей до полной картины, да еще и с таким апломбом? Фи.
Как будто есть языки, непригодные для говнокода...
Да что ж тебе неймется-то?
Зачем в комментарий к каждой новости вставлять мнение о "крутости жабы"?
Она что, у тебя по зависимостям тянется?
> Поробуйте сломать программу на Moduala-2 или Ada.Осталось найти приличный браузер написанный на оных.
а вы всё ещё запускаете браузер от основного юзера с доступом ко всем данным юзера ? тот же вопрос про плеер, инет-месенджер и почтовиккто там говорил "нас не взломают" ? паехали отмазываться дальше
Расскажите, что такого опасного в доступе к /home/user/.
Мы волнуемся...
Если у вас ничего ценного в /home/user, то в общем компьютер вы явно не используете для работы. Вообще самое ценное на компьютере - это то, что находится в /home/user, все остальное легко восстановить.
>>Расскажите, что такого опасного в доступе к /home/user/.
>Если у васЕсли у вас ЕСТЬ /home/user/, то у вас не вантуз.
Считайте пол-дела сделано.
> Если у вас ЕСТЬ /home/user/, то у вас не вантуз.
> Считайте пол-дела сделано.дальше то что от того что не вантуз ? фокс пробили, доступ в хомяк есть, ваше хомпорно уже в инетах, с указанием айпишника источника по которому уже другие добрые люди подписывают ваш город, дом и улицу + фио ответственного квартиросъёмщика из телефонного справочника
залёт есть, дальше только постинор поможет, а нужны были презервативы (это не к вам, это к прошлым товарищам, любителям остроумия)
Скажите, пожалуйста, каким способом запускаете под другим юзером?
в линухе то?
$ sudo -u nobody chromium
и пущай ломают.а вот в вантузе это не поможет, там всё равно завершилось получением полного контроля над системой.
т.е. сопрут ваще всё, если надо.
и ботов понавешают во все щели и системными правами, и на системных портах (<1024), и тд, и тп.
Теперь вспоминаем, что X-сервер один на всех, а о том, что к нему подключаются приложения разных пользователей он ничего не знает и знать не желает.
мат.часть надо знать.
sudo -u nobody chromium
(chromium-browser:7352): Gtk-WARNING **: cannot open display: :0.0зыж
>Теперь вспоминаем,а вот когда скажешь почему, тогда и выпендриваться будешь.
>что X-сервер один на всехбольшой Х и ещё 3-и буквы там.
а теперь вспоминаем как уныло и тупо виндотроли пыжаться что-то сказать, а получается только «сам дурак».
ззыж
может вам $3 бакса куда перечислить? на духовную и моральную бедность.
> Теперь вспоминаем, что X-сервер один на всехА заодно учим как устроен хромиум...
> $ sudo -u nobody chromiumА смысл? Он на достаточно свежих ядрах себя отпиливает силами LXC в вообще лысый контейнер без нихрена. Если хаксор сможет прошибить LXC, то и разделение прав он обойдет не хуже, т.к. для этого надо ядро поломать.
> в линухе то?
> $ sudo -u nobody chromium
> и пущай ломают.Так он у тебя даже к X Dsiplay не подключится.
>> $ sudo -u nobody chromium
> Так он у тебя даже к X Dsiplay не подключится.Во-первых,
User_Alias XGRP_USERS = %xgrp
Defaults:XGRP_USERS env_keep += "DISPLAY XAUTHORITY"Во-вторых,
http://www.altlinux.org/Hasher/FAQ#Q12
> Скажите, пожалуйста, каким способом запускаете под другим юзером?в линуксе да хоть так
kdesudo -u foxuser firefox
настроить только надо безпарольный запуск и разграничения прав на файлы
ну ещё foxuser надо добавить в группы типо audio или что-то в этом духе, в инете много гайдов на тему запуска браузера от отдельного юзеравот только из коробки в дистрибах этого не делают, а надо !
>> Скажите, пожалуйста, каким способом запускаете под другим юзером?
> в линуксе да хоть так
> kdesudo -u foxuser firefox
> настроить только надо безпарольный запуск и разграничения прав на файлы
> ну ещё foxuser надо добавить в группы типо audio или что-то в
> этом духе, в инете много гайдов на тему запуска браузера от
> отдельного юзера
> вот только из коробки в дистрибах этого не делают, а надо !это вам поможет от дыры в видеодрайвере и аудиодрайвере, или от превращения ff в спам бота?
Если не удастся скомпрометировать дрова(а это отдельный вопрос, т.к. их целый зоопарк), то ПД не сольют в этом случае. Так что приходиться сейчас рассчитывать на то, что изоляция просто тупо отличается от виндовой, ну и, вспоминать о неуловимом.
> Если не удастся скомпрометировать дрова(а это отдельный вопрос, т.к. их целый зоопарк),
> то ПД не сольют в этом случае. Так что приходиться сейчас
> рассчитывать на то, что изоляция просто тупо отличается от виндовой, ну
> и, вспоминать о неуловимом.почему дрова, в ядре тоже дырки находят... это всё от степени параноидальности зависит, а ведь ошибки и в каком-нибудь контроллере с DMA доступом могут быть...
Тут уже велкам ту ВМ. А вот ломанут вам торрент или почтовый клиент, или мессенджер. Это ж гораздо ближе.
По выше указанному рецепту очевидно можно защититься от кражи ПД, а это уже неплохо.
>>> Скажите, пожалуйста, каким способом запускаете под другим юзером?
>> в линуксе да хоть так
>> kdesudo -u foxuser firefox
>> настроить только надо безпарольный запуск и разграничения прав на файлы
>> ну ещё foxuser надо добавить в группы типо audio или что-то в
>> этом духе, в инете много гайдов на тему запуска браузера от
>> отдельного юзера
>> вот только из коробки в дистрибах этого не делают, а надо !
> это вам поможет от дыры в видеодрайвере и аудиодрайвере, или от превращения
> ff в спам бота?1) это поможет сократить количество классов уязвимостей с последствиями для хомяка
2) я предлагаю минивиртуалки юзать
3) я не говорю что есть панацея, я говорю что об этом нельзя забывать и действовать, в том числе мантейнерам и дистрибостроителям в линуксе (а не только озабоченным юзерам), а то "у нас линукс, мы защищены" на этом сайте скандируют постоянно (ну или "у нас линукс, мы никому не нужны нас ломать")
> это вам поможет от дыры в видеодрайвере и аудиодрайвере, или от превращения
> ff в спам бота?Ну если от всего и вся защищаться, вас ждет CubeOS от Рутковской. Там таки да, даже драйвер долбануть не получится. Потому что он живет в отдельной виртуалке.
1. в 2008 дырявый флэш вроде у всех одинаковый, а убунту так и не сломали http://www.opennet.me/opennews/art.shtml?num=15021
2. вантуз не только хомяк пользователя открыл, а вообще всё. т.е. даже если от нободи(гостя) запустишь, то всё равно поимеют.>залёт есть, дальше только постинор поможет, а нужны были презервативы
угу. и ещё не общаться с группой риска и не нюхать клей перед сексом.
а то и сам помнить не будешь есть презерватив или нет.
зыж
добавлю:
>1. в 2008 дырявый флэш вроде у всех одинаковый, а убунту так и не сломали http://www.opennet.me/opennews/art.shtml?num=15021а знаете почему?
механизмы сандификации разные в разных ОС. хочешь, не хочешь, а флэш/жаба/броузер под разные ОС разные получаются.
особенно как раз в безопасности, потому что и механизмы, предоставляемые в ОС разные.
вот когда браузеры сразу из граб будут грузиться, тогда и… и то будут варианты :D
А если у меня в /home нет хоумпорно, то, видимо, я не использую компьютер для работы. Логично...
По всей видимости все, что примонтировано, будет тоже доступно.
дело в том, что sandbox'ы под линух, мак и вантуз не близнецы братья.
браузеры при их создании используют то, что предоставляет окружение. а оно разное.
так что мысль «раз плагин пробили, то эксплуатировать можно будет во всех ОС» не верна и наивна как izen с жабой, сколько он не повторяет одно и тоже, а:
> Изменить ситуацию компания Oracle может только кардинально переработав архитектуру безопасности Java, без этого 0-day эксплоиты будут появляться всё чаще и чаще.…
Это понятно. Вы же понимаете, что это вопрос больше к популярности ОС. В перспективе эта тема будет все актуальней. Если есть возможность не сложными средствами сделать запуск от пользователя-болванки, то почему нет? Да и не всякое приложение в сэндбоксе, например, торрент клиенты и другой сетевой софт. Также на некоторых слабых машинках(а также виртуалках с удаленным Х доступом) приходится использовать мидори(а это вебкит).
>Это понятно. Вы же понимаете, что это вопрос больше к популярности ОС.нет.
студентам мс в методичках это пишут, но это тоже далеко не вся правда.
правда в том, что это справедливо только до определённой (и к счастью не такой уж большой) степени.видите ли, даже реализации динамического распределение памяти (malloc/free и варианты) в разных ОС разные. а без него как вы понимаете ни один броузер сандбокс не сделает.
на чём бы вы не писали (хоть на айзеновской жабе), а выделением памяти будет заниматься соответсвующий сискол.
а сисколов в винде овер 40000.ну новость то читайте. все эти системы защиты (рекламируемые ещё трухиным, как счаз помню) обошлись <цитата> We were able to exploit the first vulnerability in multiple ways </цитата>
Вы меня не поняли. Я имел ввиду относительно популярности Линукса. То время, когда им займутся как виндой. И по сути, кража ПД не особо отличается от кражи ПД в Линукс. Единственно, что полный доступ получить несколько сложнее.
> Вы меня не поняли. Я имел ввиду относительно популярности Линукса. То время,
> когда им займутся как виндой. И по сути, кража ПД не
> особо отличается от кражи ПД в Линукс. Единственно, что полный доступ
> получить несколько сложнее.Ахаха, тебе это учительница рисования в школе рассказала?
Займутся им, ахаха.Им занимаются посерьёзней любого пиндосского говнеца серьёзные люди, делающие на нём серьёзные бизнесы (про red hat не слышал, не?). Разница в том, что ни кто не встаёт поперёк жопы и не мешает инспектировать код и выпускать исправления сразу, а не по факту их обнаружения или спустя годы. И серьёзные проблемы устраняются раньше, чем они могут себя проявить.
Прочтите, пожалуйста, тред до осмысления. И текст новости тоже.
это ВЫ не поняли.
НЕТ прямой зависимости количества уязвимостей от популярности той или иной ОС.
у вантуза подобная связь идёт с гораздо бОльшим коэффициентом.
и это первое.второе. количество уязвимостей, количество не найденных уязвимостей и количество не найденных, но эксплуатируемых уязвимостей ТОЖЕ разное.
и зависит как от архитектуры, так и от способов, культуры и процесса разработки.в общем попробуйте прочитать ещё раз и понять то, что я сказал выше.
зыж
рекламными лозунгами и зомбометодичками можно приподнять свою репутацию и опустить репутацию конкурента, но дыры в ПО и архитектуре это не закроет.
Опять мимо. Давай-те так: вы согласны с тем, что разница только лишь в том, что изоляция в винде иная чем в линуксе? Думаю, что да, т.к. сами об этом писали. Так вот, на пути кражи ПД в линуксе стоит лишь некая built-in изоляция. А в некоторых случаях ее просто нет, как уже я писал выше. Мое мнение, что на данный момент безопасность линукс-десктопа основана на принципе "неуловимый Джо". Да, с рутом все сложнее, но стырить ПД кажется вполне выполнимымой задачей. Собственно и тред о том, чтобы воспрепятстовать этой краже простыми средствами.
с настолько унылым троллем нет, увы, даже пикироваться не охота.зыж
ещё раз, последний
>We were able to exploit the first vulnerability in multiple waysв винде 100500 способов эксплуатировать одну уязвимость.
> Вообще самое ценное на компьютере - это то, что находится в /home/user, все остальное легко восстановить.Странно, у меня самое ценное обычно находится в /media/truecrypt1/. Точнее, оно там находится, когда мне это нужно. Теоретически можно неаккуратно подключиться к сайту через .gvfs и оставить это подключение, залезая на другие сайты. Но и это легко поправимо, как вы понимаете.
> Расскажите, что такого опасного в доступе к /home/user/.
> Мы волнуемся...~/.thunderbird/d8b41gf3.default/Mail/Local Folders/
продолжайте сохранять спокойствие
> ~/.thunderbird/d8b41gf3.default/Mail/Local Folders/
> продолжайте сохранять спокойствиеУ вас есть, куда залить пару терабайт? Могу переслать. Поищите среди архива техподдержки сайта пароль на корпоративную аську (это, пожалуй, единственная ценная информация в той папке). Только учтите, что я его сменю, как только узнаю о взломе.
Лол, с таким подходом вы вообще никогда и ничего не узнаете, не то что, профиль почтовика улетел шутнику-злодею
Вообще-то трудно не заметить, как с машины "улетают" два гига.
И зачем кому-то вообще все то барахло, которое лежит у кого-то в почтовом ящике.
У меня он вообще подключен через IMAP, достаточно нарыть пароль. Никакие гигабайты гонять не понадобится.
> Вообще-то трудно не заметить, как с машины "улетают" два гига.
> И зачем кому-то вообще все то барахло, которое лежит у кого-то в
> почтовом ящике.
> У меня он вообще подключен через IMAP, достаточно нарыть пароль. Никакие гигабайты
> гонять не понадобится.за ночь мой торрент-сервер по 5-100кб раздаёт терабайты
за день ваш компик с той же скоростью отдаст не то что весь профиль а вобще весь хомякно так как вы неуловимый джо - вам ничего не объяснить, извините что мы вас побеспокоили
> но так как вы неуловимый джоДумаете, обижусь? Да щас. Когда вокруг стреляют - лучше быть тем самым неуловимым Джо.
Пока геморроя с моим взломом больше, чем профита - я могу вообще не волноваться о безопасности.
А уж то, что у меня есть действительно ценного, не валяется в стандартных папках на потеху троянам и "ксакепам"...
>Когда вокруг стреляют - лучше быть тем самым неуловимым Джо.Допустим, с этим никто и не спорит, но что это не меняет? Что важнее доступ злоумышленника к /usr/lib или к данным, которые обычно хранятся в хомяке у обычного пользователя, и который не готов так легко и просто распрощаться с ними?
Мне в этом смысле импонирует подход авторов Pidgin. Они не делают вид, что защищают ваш аккаунт - пароль лежит в настройках простым текстом. Если вы дорожите этой информацией - защищайте ее средствами системы. Такие средства есть, во всяком случае, в нормальных системах.
Напротив, qip старательно шифрует пароль от аськи, причем как именно он это делает - пользователи обычно не знают. А вирусописатели обычно знают...Совершенно аналогичная ситуация с FileZilla и ТС насчет доступа к FTP. И если у нас на FTP вдруг появляются вирусы (они же не знают, что там нет веб-сервера), то я уверенно обращаюсь к единственному пользователю ТС, не беспокоя пользователей FileZilla. И, что характерно, еще ни разу не ошибся.
Конечно, обе эти программы - те самые неуловимые Джо. Но мне важнее результат, а не пафос.
> Расскажите, что такого опасного в доступе к /home/user/.
> Мы волнуемся...Даже в Java ME десятилетие назад осознали те опасности, когда приложение может получить доступ к адресной книге и средству отправки SMS, и сделали запрос на выполнение этих потенциально опасных действий у пользователя на уровне среды выполнения. Чтобы не было глупых выкриков Касперского и ему подобных о недостаточной защищённости программ на телефоне и необходимости установки мобильного антивируса-монитора, следящего за подозительной активностью игрушек. Чтобы пользователь не попал в глупейшее положение, ставящее его персональную информацию в зависимость от какой-то левой фигни, [del]купленной на распродаже[/del] скачанной откуда-то из Сети.
> Даже в Java ME десятилетие назад осознали те опасности, когда приложение может
> получить доступ к адресной книге и средству отправки SMS, и сделали
> запрос на выполнение этих потенциально опасных действий у пользователя...поэтому я не могу нормально фотографировать софтиной на яве. Она каждый раз выкидывает запрос. И варианта "разрешить всегда" там нет. А подтверждать вообще каждую фотографию, каждый раз, при том что я уже нажал кнопку спуска затвора, которая это подтверждает круче в сто раз - ну нет, спасибо, но я обойдусь без таких программ.
Ну, поставьте себя на место вирусописателя.
Допустим, вы владеете знанием о незакрытой дыре в браузере, через которую вы можете выполнить на стороне клиента произвольный код с правами пользователя. Под любую систему на базе ядра Линукс. Это уже довольно жирно, но допустим.
Ваша задача - использовать это знание так, чтобы поиметь с него профит. Больший, чем другие методы получения профита.
Что будет делать ваш код?
> Ну, поставьте себя на место вирусописателя.программиста
> Допустим, вы владеете знанием о незакрытой дыре в браузерео нужной функции в программе
> Что будет делать ваш код?притворяться броузером/плагином, безопасным, быстрым, нужным
Я, признаться, обращался предположительно к человеку, способному хотя бы понять вопрос...
> а вы всё ещё запускаете браузер от основного юзера с доступом ко
> всем данным юзера ? тот же вопрос про плеер, инет-месенджер и
> почтовик
> кто там говорил "нас не взломают" ? паехали отмазываться дальшеЯ вам искренне сочувствую, вы наверное и вывод браузера в текстовую консоль выводите, без аппартаного ускорения...
p.s. Проблема делится на две части
1. Выйти на уровень браузера
2. Выйти на уровень администратора/пользователяоба вопроса как показывает практика зачастую решаются без особых проблем, одни дыры лечат другие находят, и не важно какая операционка ( хотя на zч-spectrum вирусы пишут реже ввиду непопулярности )
>Общий призовой фонд Pwnium составит 3.14159 млн долларову них фонд как число "пи" однако :)
Это было сделано специально - http://www.opennet.me/opennews/art.shtml?num=35964
Всегда ваш Адмирал Ясен Перец
oracle еще и жадный!
> oracle еще и жадный!Оракл тебе так-то ничем не обязан. Создай свою компанию, заработай лярды, а потом щедрой рукой благодетельствуй красноглазых всего человечества. А я посмотрю и бурно поаплодирую. Компрене ву?
эх, на мой взгляд, с большими вознаграждениями на таких соревнованиях плохо то, что ограниченный призовой фонд поощряет исследователя показать не все найденные уязвимости конкретного софта, часть он прибережет до следующего мероприятия (в надежде что баг не отыщется кем-то еще или не закроется в очередной версии) или таки продать на черном рынке, где "призовой фонд" неограничен.
Опять взлом сферического флэша в браузере.
>общий призовой фонд Pwnium составит 3.14159 млн долларовчисло Пи? :-)
>>общий призовой фонд Pwnium составит 3.14159 млн долларов
> число Пи? :-)Нет, - Пи миллионов
>>общий призовой фонд Pwnium составит 3.14159 млн долларов
> число Пи? :-)МегаПИ!
Суммы пдают по мере упрощения взлома, т е firefox самый дырявый?
> Слабой стороной Chrome называется WebkitНа который переходит Опера.
>> Слабой стороной Chrome называется Webkit
> На который переходит Опера.пользователям Оперы -- обычно вообще движёк не важен.
я встречаю обычно 2 вида пользователей оперы:
1. я пользуюсь Оперой, потому что тут всё можно настроить, и много всяких нужных полезных кнопок...
(комментарий: при чём тут вообще движёк? человеку явно нравится именно GUI)2. я пользуюсь Оперой, потому сосед Вася сказал что Опера это самый крутой браузер. а сосед Вася крутой компьютерщик, он разбирается!
(комментарий: здесь человек вообще не знает ни чего о существовании разных движков и о том какая между ними совместимость/несовместимость)и обыдно очень, что группа [2] намного много много чаще встречается чем группа [1].
>[оверквотинг удален]
> я встречаю обычно 2 вида пользователей оперы:
> 1. я пользуюсь Оперой, потому что тут всё можно настроить, и много
> всяких нужных полезных кнопок...
> (комментарий: при чём тут вообще движёк? человеку явно нравится именно GUI)
> 2. я пользуюсь Оперой, потому сосед Вася сказал что Опера это самый
> крутой браузер. а сосед Вася крутой компьютерщик, он разбирается!
> (комментарий: здесь человек вообще не знает ни чего о существовании разных движков
> и о том какая между ними совместимость/несовместимость)
> и обыдно очень, что группа [2] намного много много чаще встречается чем
> группа [1].Да и первая-то не лучше второй, ибо что те, что эти — утята
> Да и первая-то не лучше второй, ибо что те, что эти —
> утятаУ всех у нас одна мама-утка, синяя такая, с обручем, ее еще интернетом называют. Кроме совсем древних товарищей с штурвалом и маяком.
> пользователям Оперы -- обычно вообще движёк не важенмогу дать ссылку на тред на офсайте, где давние пользователи opera >1200 постов рассказывают, как им не важен "движёк"
>> пользователям Оперы -- обычно вообще движёк не важен
> могу дать ссылку на тред на офсайте, где давние пользователи opera >1200
> постов рассказывают, как им не важен "движёк"У нас тут в Москве тоже митинги собирали, рассказывали как им важны честные выборы и как они готовы действовать. И чего?
Если дейстительно проводить аналогию с нацполом, публика на митингах скорее уедет в нормальную страну, чем будет подставлять филе за мизерную пенсию. Их мало, но они знают, чего хотят.
>> Слабой стороной Chrome называется Webkit
> На который переходит Опера.Есть слабая надежда, что "дырявость" движка можно регулировать соответствующим кодом браузера. В конце концов, "движок" - это просто "показывалка", ей необходим "контроллер" всех модулей, ресурсов и т.п.
На первом дне конкурса не был взломан браузер Safari в окружении Mac OS X бууааа