ZDNet - Včeraj se je v Vancouvru začelo letošnje tekmovanje Pwn2Own, kjer tekmovalci iščejo varnostne luknje v brskalnikih in mobilnih telefonov, v zameno za uspešne napade pa prvouvrščeni dobijo lepe nagrade. Tekmovanje se je začelo po našem času danes ob 0.30 uri. Safari in Internet Explorer sta že padla.
Ekipa francoskega podjetja Vupen je kljub popravku 5.0.4 za Safari, ki je izšel le nekaj ur pred prireditvijo, uspela zlomiti brskalnik na 64-bitnem Mac OS X. Francozi so prejeli 15.000 dolarjev in novega MacBooka Air. Microsoftov Internet Explorer 8 je prav tako hitro padel, saj ga je na 64-bitnih Windows 7 SP1 zlomil Stephen Fewer, ustanovitelj podjetja Harmony Security. Obšel je peskovnik DEP (Data Execution Prevention) in ASLR (Address Space Layout Randomization) in z zlorabo treh ranljivosti zagnal aplikacijo Računalo na oddaljenem računalniku ter ustvaril datoteko na njem. Prejel bo 15.000 dolarjev in nov prenosnik z Windows. Microsoft brskalnika ni posodabljal v zadnjih dneh pred tekmovanjem
Lepo, da tekmovalci dobijo nagrade, bi bilo pa še lepše, če bi hkrati še proizvajalce take hroščate programske opreme kaznovali z nekaj milijoni USD za vsak tak bug.
Lepo, da tekmovalci dobijo nagrade, bi bilo pa še lepše, če bi hkrati še proizvajalce take hroščate programske opreme kaznovali z nekaj milijoni USD za vsak tak bug.
Se vidi, da v življenju nisi spisal nobenega programa
Časa imajo 3 dni. Glede na to, da večina ljudi pride tja že s pripravljenimi exploiti in jih tam samo uporabijo (IE in Safari sta padla po nekaj minutah) in da v 10 urah še niso uspeli sesut Chrome in Firefox imata IMO kar dobre možnosti.
As for Chrome, the contest will be a two-part one. On day 1, Google will offer $20,000 USD and the CR-48 if a contestant can pop the browser and escape the sandbox using vulnerabilities purely present in Google-written code. If competitors are unsuccessful, on day 2 and 3 the ZDI will offer $10,000 USD for a sandbox escape in non-Google code and Google will offer $10,000 USD for the Chrome bug. Either way, plugins other than the built-in PDF support are out of scope.
Za FF ni nikjer eksplicitno navedeno vendar sklepam, da najbrž velja nekaj podobnega. Za FF pwnage sta sicer prijavljena dva tekmovalca, torej sta možna dva scenarija: a) both have failed b) nista še prispela na prizorišče.
Se vidi, da v življenju nisi spisal nobenega programa
Govoriš na pamet, ali imaš kakšen vir. Sem šel na hitro pogledat in trenutno moje programe uporablja nekaj 100 ljudi, tako da se malo spoznam na te reči oziroma ravno toliko, da se mi nekako sanja, kje se pojavljajo težave.
Če ima programska oprema kot je brskalnik takšno varnostno luknjo, da lahko nekdo prek tega na tvojem računalniku naredi karkoli, je to zame nedopustna šlamparija, ki bi jo moral interni sistem kakovosti odkrit še preden gre izdelek na trg. Tak bug je zame nekaj podobnega, kot če bi v avtomobilih naključno odpovedoval zavorni sistem. Proizvajalci avtomobilov vpokličejo nazaj vse, tisti ki pa so doživeli nesrečo, pa za velike denarje vlagajo odškodninske tožbe.
Se vidi, da v življenju nisi spisal nobenega programa
Govoriš na pamet, ali imaš kakšen vir. Sem šel na hitro pogledat in trenutno moje programe uporablja nekaj 100 ljudi, tako da se malo spoznam na te reči oziroma ravno toliko, da se mi nekako sanja, kje se pojavljajo težave.
Če ima programska oprema kot je brskalnik takšno varnostno luknjo, da lahko nekdo prek tega na tvojem računalniku naredi karkoli, je to zame nedopustna šlamparija, ki bi jo moral interni sistem kakovosti odkrit še preden gre izdelek na trg. Tak bug je zame nekaj podobnega, kot če bi v avtomobilih naključno odpovedoval zavorni sistem. Proizvajalci avtomobilov vpokličejo nazaj vse, tisti ki pa so doživeli nesrečo, pa za velike denarje vlagajo odškodninske tožbe.
Po tej logiki nobeni winsi NIKOLI nebi smeli prit v prodajo. ;)
Po tej logiki nobeni winsi NIKOLI nebi smeli prit v prodajo. ;)
To ne vem, je pa zame nedopustno, da se lahko proizvajalci z drobnim tiskom odvežejo kakršnekoli odgovornosti. Če imam jaz zaradi neodkrite luknje v sistemu za 100.000 € škode pričakujem, da lahko s tožbo dosežem ali poravnavo, ali odškodnino.
Se vidi, da v življenju nisi spisal nobenega programa
Govoriš na pamet, ali imaš kakšen vir. Sem šel na hitro pogledat in trenutno moje programe uporablja nekaj 100 ljudi, tako da se malo spoznam na te reči oziroma ravno toliko, da se mi nekako sanja, kje se pojavljajo težave.
Če ima programska oprema kot je brskalnik takšno varnostno luknjo, da lahko nekdo prek tega na tvojem računalniku naredi karkoli, je to zame nedopustna šlamparija, ki bi jo moral interni sistem kakovosti odkrit še preden gre izdelek na trg. Tak bug je zame nekaj podobnega, kot če bi v avtomobilih naključno odpovedoval zavorni sistem. Proizvajalci avtomobilov vpokličejo nazaj vse, tisti ki pa so doživeli nesrečo, pa za velike denarje vlagajo odškodninske tožbe.
Srčno upam, da med "svoje" "programe" ne šteješ svojega wordpress bloga, kjer si verjetno samo zamenjal css in naslovno sliko.
Tudi moje aplikacije uporablja vec sto ljudi herpa derpa derp derp. Pri tem bom seveda prikladno izpustil da imam relativno zaprt sistem z malo zunanjega inputa, uporabnike, ki nimajo zlih namenov, delam predvsem s tekstovnimi podatki (ne pa tako kot browserji, ki morajo izvajat tujo kodo) in si pri varnosti pomagam z dragimi paketi velikih proizvajalcev. Ja, edino prav da mozilla izplaca po par miljonov za vsako luknjo v zastonjskem browserju hurr durr.
Ampak ne glede na to, Chrome je prvi browser ki ni padel na pwn2own takoj v prvem dnevu (ponavadi v minutah). Vsaka jim čast. IE v primerjavi je patetičen.
Časovni interval je irelevanten. Folk se pač vsede in pwna. A matter of seconds/minutes. Dirty job je bil opravljen v zakulisju in je trajal nekaj tednov.
Ker so že prvi tekmovalci pwnali omenjena browserja ni težko narediti kalkulacijo in priti do zaključka, da bodo ostali prihranili svoje 0-day exploite za naslednje leto :D
Chrome je lansko leto ŽE nastopil in ga ni noben zdru ... so pa bili VSI naenkrat testirani. Letos to gre po vrsti ... najprej safari, potem ie, potem chrome ,jutri pa bo čas za FF in mobilne OS (android, ios, .. )
torej to da un ko se je prijavil na chrome je po mojem prodal stvar googlu (ampak ne v povezavi z zgornjim linkom ... ta se navezuje na jutr, ko so na vrsti mobilni os) to da sta ie in safari padla je bilo za pričakovat ... tako kot FF 100% ni mogel vsega zakrpati. bolj mi je čudno, da se noben ni lotil chroma ... ok, to da so enga plačal verjetno plačal, da ni nastopu, ampak kaj je pa z ostalim pwnd cominitijem !? -- sem se res veselil ko so napovedal napad na chrome ... da se vidi, da se je vsaj nekdo potrudil in raziskal kaj vse mu lahko šibneš in uideš njegomu sandboxu.
P.s.: Letos opere ni, ker ima premali tržni delež :) P.s.: napoved .. vse mobilne naprave bodo padle v prej kot 30min
S tozbo bi ti dobil poravnavo.Good one.Ce si kot programer pripravljen podpisan pogodbo kjer zagotavljas program brez moznosti napake...pol sploh nocem vidt programa, ker lazes ze sebi.Najvec kar lahko naredis je zagotovilo popravkov.Ce si fer so kriticni vsi zastonj...nekriticne napake na katerih je treba "delati" da do njih pride in niso del glavnega opravila naloge za katero je bil spisal se pac resi do dolocenega roka...kasneje naj pac placajo podaljsajo pogodbo. Isto dela Microsoft.Uporabniki smo pac prisiljeni sprejeti EULO, kjer kriticno napako definirajo oni in ne mi...
Zelo priročno pa pride končna različica Internet Explorer 9 ven 14. marca ob 9pm po Pacifiškem času (se pravi, 6 zjutraj v torek po našem času). Bo treba 1 leto počakat na bolj realne hitre padce. ;)
