Hack-Wettbewerb PWN to OWN: MacBook Air als Erstes geknackt

[maba_de]

...
Nur sollte man nicht alles was einem aufgetischt wird, unreflektiert in sich aufnehmen.
Meines Wissen ist der Typ der das Air geknackt hat, selbst Macuser und so ist es nicht verwunderlich dass er ne Sicherheitslücke finden konnte, da er ja genug Zeit hatte.....

unreflektiert nehme ich sicher nichts auf, zumindest nicht im IT Bereich, denn das ist mein Arbeitsfeld.
Im Gegenteil habe ich mir den Test, das Umfeld und die Teilnehmer sehr genau angesehen:

1. alle Teilnehmer haben an allen Geräten die selben Möglichkeiten gehabt
2. der Aufwand, das Linux System zu hacken war zu groß
3. Vista ist besser als sein Ruf, erst Fremdsoftware brachte Vista zu Fall
4. da waren keine Scriptkiddies am Werk, sondern Profis
5. Mac OS X hat da einfach schlecht abschnitten

Das schlimme daran ist aber nicht, wer wie abschneidet, sondern die Ignoranz einiger Mac User. Mac OS X ist von Fachleuten zu knacken, der Weg zu den Scriptkiddies ist nicht mehr weit .

 

[mcfeir]

@magheinz

Was ist daran relativ? Etwas ist sicher oder eben nicht. Mit Relativität hat das ganze gar nix zu tun. Wenn du sagst ein System ist relativ sicher, dann möchte ich jetzt mal wissen: "relativ zu was"? Ich meine, von welchem Wert ist die Sicherheit abhängig?

Merkst du nicht, wie du dir da widersprichst ?

Im ersten Satz behauptest du : Sicherheit sei nicht relativ; im zweiten Satz sagst du :

Der Begriff Sicherheit bezieht sich immer auf ein bestimmtes Szenario

Wenn sich Sicherheit immer auf ein bestimmtes Szenario bezieht, dann ist sie damit natürlich relativ zu diesem bestimmten Szenario gegeben oder nicht..

In der Rhetorik nennt man sowas : contradictio in adiecto

Also : sprachliche Logik scheint nicht deine Stärke zu sein.

 

[magheinz]

Wenn sich Sicherheit immer auf ein bestimmtes Szenario bezieht, dann ist sie damit natürlich relativ zu diesem bestimmten Szenario gegeben oder nicht..

Nein, wenn Sicherheit immer auf ein bestimmtes Szenario bezieht, dann ist der Rechner sicher IN diesem Szenario. Ein Szenario ist hier ein zu schützendes System (Rechner) und ein Angriffsvektor (Bsp. Bug in Software X).
Der Angriffsvektor kann auch eine mangelhafte Konfig oder was ganz anderes sein.
Das ganze hat aber rein gar nichts mit Relativität zu tun.

Eventuell habe ich mich da missverständlich ausgedrückt.

 

[mcfeir]

Das ganze hat aber rein gar nichts mit Relativität zu tun

Aber klar doch. Unter den Voraussetzungen die du annimmst (und denen ich ja zustimme), definierst du ein Szenario (zu schützender Rechner/Angriffskonstellation). In diesem speziellen Szenario gibt es dann zwei Zustände : sicher/unsicher (das nennst du binär).

Das bedeutet nichts anderes als : Sicherheit kann nicht absolut definiert werden, sondern nur relativ auf das von mir angenommene Szenario.

 

[demark]

Aber klar doch. Unter den Voraussetzungen die du annimmst (und denen ich ja zustimme), definierst du ein Szenario (zu schützender Rechner/Angriffskonstellation). In diesem speziellen Szenario gibt es dann zwei Zustände : sicher/unsicher (das nennst du binär).

Das bedeutet nichts anderes als : Sicherheit kann nicht absolut definiert werden, sondern nur relativ auf das von mir angenommene Szenario.

Bitte kein Rhetorikseminar!

Es geht hier um die rein technische Frage von Sicherheit eines BS.
Mit dem Versuch ist demonstriert worden, daß ein BS - also auch OSX - nicht sicher ist. Das ist alles.

Also laß bitte die Ausflüchte in wenn und aber oder relativ oder nicht. Das ist nicht das Thema.

 

[mcfeir]

Mit dem Versuch ist demonstriert worden, daß ein BS - also auch OSX - nicht sicher ist. Das ist alles.

Also laß bitte die Ausflüchte in wenn und aber oder relativ oder nicht. Das ist nicht das Thema.

Dann hast du offensichtlich nicht verstanden um was es geht; jedenfalls nicht um Rhetorik. Es geht darum, dass die hier offengelegte Sicherheitslücke abhängig ist von dem Szenario, in dem sie aufgetreten ist. Wenn das Szenario etwas anders ausgesehen hätte, wäre sie evtl. nicht aufgetreten. Das ist die Relativität um die es geht. Ist doch eigentlich ganz einfach zu verstehen; oder nicht ?

 

[magheinz]

Dann hast du offensichtlich nicht verstanden um was es geht; jedenfalls nicht um Rhetorik. Es geht darum, dass die hier offengelegte Sicherheitslücke abhängig ist von dem Szenario, in dem sie aufgetreten ist. Wenn das Szenario etwas anders ausgesehen hätte, wäre sie evtl. nicht aufgetreten.

So langsam komme ich dahinter was du mit "relativ" in dem Zusammenhang meinst.
Also: Die hier offengelegte Sicherheitslücke ist NICHT abhängig vom Szenario , sie ist Bestandteil des Szenarios.
Wenn es um Sicherheit im IT-Bereich geht, dann nimmt man die möglichen Szenarien und schaut ob in diesen das System sicher ist.
Ein Szenario Besteht dabei aus dem zu schützenden System und aus mögliche Angriffsvektoren.
Am Ende kann man Ja oder Nein sagen.
Sobald das System anfällig gegenüber mindestens einem der Angenommenen Angriffsvektoren ist hat es als unsicher zu gelten.
Die möglichen Angriffsvektoren müssen also VORHER definiert werden. Deswegen muss immer die erste Frage sein wenn jemand nach der Sicherheit von etwas fragt: sicher, wogegen?
Man kann am Ende sagen das System ist z.B. gegen Bedienfehler sicher, oder gegen Browserbugs (hier wohl eher nicht ) oder gegen Bufferoverflows in Anwendung X. Da ist aber nichts relativ dabei. Relativität ist was anderes.

 

[demark]

Es geht darum, dass die hier offengelegte Sicherheitslücke abhängig ist von dem Szenario, in dem sie aufgetreten ist. Wenn das Szenario etwas anders ausgesehen hätte, wäre sie evtl. nicht aufgetreten. Das ist die Relativität um die es geht. Ist doch eigentlich ganz einfach zu verstehen; oder nicht ?

Wir haben da wohl völlig verschiedene Ansätze.

Ich wiederhole deshalb das Zitat (spiegel.de):

"Pohl weist auf diese Probleme hin:

Unveröffentlichte Sicherheitslücken werden von dieser Untersuchung nicht erfasst. Pohl: "Solche unveröffentlichten Sicherheitslücken werden weltweit gegen Bezahlung angeboten und von Interessenten, zum Beispiel Nachrichtendiensten oder Konkurrenzunternehmen, gekauft."

Dass es insgesamt weniger ungepatchte Sicherheitslücken gibt, macht ein System nicht zwangsläufig sicherer. Pohl: "Einem Angreifer muss nur eine einzige Sicherheitslücke bekannt sein, die er ausnutzen kann." Und die Untersuchung der ETH-Forscher zeige, dass Hersteller durchaus Sicherheitslücken patchen - aber eben "nicht alle und manche erst nach langer Zeit."

Daraus sollten laut Pohl alle IT-Anwender dieses Fazit ziehen: "Wertvolle Daten müssen auf Stand-Alone-Rechnern und in geschlossenen Netzen verarbeitet werden – ohne direkten oder indirekten Anschluss an das Internet."


=> Ein komplexes System hat immer Bereiche, die nicht gesichert sind.

Das Problem ist, daß diese "Schwachstellen" selbst für die Funktion gar keinen Fehler darstellen müssen.
Im Zusammenhang mit anderen Komponenten können diese "Schwachstellen" jedoch ein Bestandteil des Hebels sein, mit dem die Sicherheit zu Fall gebracht wird.

Es reicht *eine* nutzbare Lücke.

Ein Szenario sagt nur aus, welche Bedingungen z.B. für das Prüfen eines BS angenommen worden sind.
Das Reduzieren auf wesentliche Szenarien ist nötig, weil es in einem komplexen System nicht möglich ist, alle Einflüsse zu berücksichtigen.


Eine menschliche Schwäche beim Beurteilen von seltenen Fällen:

Während sich ein Lottospieler, den wenig wahrscheinlichen Fall als sofort eintretend erhofft - weil positiv besetzt, versuchen die Menschen, die z.B. ein BS als sicher erklären wollen, den wenig wahrscheinlichen Fall in die Unendlichkeit zu schieben - weil negativ besetzt.

 

[mcfeir]

Wir haben da wohl völlig verschiedene Ansätze.

Ich kann da an sich keine Unterschiede entdecken.

Wenn du schreibst :

Daraus sollten laut Pohl alle IT-Anwender dieses Fazit ziehen: "Wertvolle Daten müssen auf Stand-Alone-Rechnern und in geschlossenen Netzen verarbeitet werden – ohne direkten oder indirekten Anschluss an das Internet."

dann bedeutet das nichts anderes als dass die Netzwerkanbindung eines Rechners ein wesentlicher Teil des Szenarios ist (so banal das klingt), das für den Erfolg des Angriffs gegeben sein muss; oder umgekehrt : dass ohne diese Komponente im Szenario eben kein erfolgreicher Angriff mehr möglich ist.

Insofern gibt es da gar keinen Unterschied zu deiner Sichtweise.

 

[demark]

dann bedeutet das nichts anderes als dass die Netzwerkanbindung eines Rechners ein wesentlicher Teil des Szenarios ist (so banal das klingt), das für den Erfolg des Angriffs gegeben sein muss; oder umgekehrt : dass ohne diese Komponente im Szenario eben kein erfolgreicher Angriff mehr möglich ist.

Insofern gibt es da gar keinen Unterschied zu deiner Sichtweise.

Hmm. Dann habe ich Deinen Einwand wohl falsch verstanden.


Beispiel aus einem anderen Bereich:

In der Elektro-Branche war es mal üblich, Sicherheit mit einer "sichtbaren Trennstelle" (und Erdung) zu gewähren. Trotzdem bewahrte es nicht vor Elektro-Unfällen, sei es, weil Menschen die Vorgaben ignoriert hatten oder weil nicht alle möglichen Fälle berücksichtigt worden sind (z.B: Einspeisung von einem Notstromaggregat oder Sekretärin schraubt Sicherung wieder rein).

Andererseits ist die Erfahrung gemacht worden, daß Arbeit unter Spannung, wenn die als solche bewußt war - also mit entsprechender Ausrüstung und Vorsicht - nicht zu mehr Unfällen geführt hatte.

Der Versuch, BS zu hacken, ist kein Hinweis darauf, daß ein BS 100% sicher ist. Er ist nur ein Hinweis darauf, daß sich beim gehackten OS ein Weg innerhalb der Vorgaben finden ließ.

Ich bewerte es positiv, daß mit dem Versuch und dem Medienrummel ins Bewußtsein gerückt wurde, daß es auch beim Mac-OS nutzbare Angriffsmöglichkeiten gibt.

Vielleicht klärt sich das Mißverständnis daran, von welcher Seite aus betrachtet wird:
A ein sicheres System sei nicht möglich
B ein sicheres System sei möglich

Die Frage ist schließlich immer, wie geht der Mensch mit den Informationen um.
Da ich meine, daß viele Menschen mit Wahrscheinlichkeiten nicht unabhängig von Wünschen umgehen können, mag ich ein Relativieren nicht zulassen.

"Mein OS ist so sicher, da muß ich mir um Rechtevergabe und andere Hürden keine Gedanken machen."
darf nicht das Fazit sein.

 

[detto]

Erneut wird Safari an den Pranger gestellt und schon vorab als der "Gewinner" des nächsten Wettbewerbs benannt.

Lest selbst: http://arstechnica.com/apple/news/2...-winner-says-safari-will-be-first-to-fall.ars

 

[magheinz]

das spricht halt einer aus erfahrung

 

[OFJ]

Hat jemand etwas genauere Informationen was da gestern auf dem Pwn2own-Wettbewerb auf der Sicherheitskonferenz CanSecWest genau ablief?

Für die Jungs auf heise war das ja mal wieder ein Fest. Ich würde aber gerne mal ein paar nähere Informationen aus weiteren Quellen bekommen.

 

[Cathul]

Hier gibts ein imho recht interessantes Interview zu dem Wettbewerb.

 

[Midgard]

Ist doch logisch, dass ein Browser, der an ein bestimmtes OS gebunden ist, zur Hauptzielscheibe wird, wenn man das jeweilige Zielsystem kompromittieren will. Der Internet Explorer hats vorgemacht.

 

[MacMark]

Hat jemand etwas genauere Informationen was da gestern auf dem Pwn2own-Wettbewerb auf der Sicherheitskonferenz CanSecWest genau ablief?
…

Ja, ich:
http://www.macmark.de/blog/osx_blog_2009-03.php#macbook_not_hacked_in_two_minutes_again