Macbook mit voll gepatchtem Safari in 2 min gehackt

sandtdman schrieb:
... dazu muss er aber erstmal an den rechner kommen. DH Datensicherheit bei der Einstellung des Routers ist wohl auch für MAc-User ein Muss-...
Zum Vergrößern anklicken....

muss er nicht. Du öffnest die modifizierte Webseite.
Dann passiert folgendes:

"Gewonnen hat der Hacker, wenn es ihm gelang, dabei eigenen Code einzuschleusen und im Context des Browsers auszuführen. Das ist quasi die Grundvoraussetzung für eine Übernahme des Systems – im Hacker-Slang wurde es damit ge-pwned.
Charlie Miller brauchte nicht einmal 2 Minuten, um Safari auf einem voll gepatchten Macbook zu kapern."

Quelle: http://www.heise.de/security/Pwn2own-Wettbewerb-Safari-IE8-und-Firefox-gehackt--/news/meldung/134822

Wenn dein System dabei eine Verbindung aufbaut, nützt Dir die Firewall im Router auch nichts.
 
detto schrieb:
...
Zum Vergrößern anklicken....
Wenn Du meinen Textabsatz nicht in zwei getrennte Zitate zerlegst, sondern am Stück liest, dann vermeidest Du so ein Mißverständnis ;) Wie kann man eine klare Warnung so fehlinterpretieren?
Der Wettbewerb verharmlost, weil alle glauben, solche Bugs kämen dermaßen selten vor, daß man jeden einzeln einrahmen und mit einen Preis adeln könne.

Und wenn Du noch weiterliest, dann siehst Du, worauf ich hinaus will: Die Gefahr ist immer da und man ist davor nie sicher. Wenn man diesen Bug fixt, hat man nicht viel gewonnen. Man muß es generell eindämmen - per Sandbox. Und wie das geht, beschreibe ich auch.
 
Zuletzt bearbeitet:
Die Sandbox für Safari an sich ist ne gute Idee.
Der IE7 unter Vista läuft per Default in einer Sandbox, MS hat das also bereits erkannt.
 
maba_de schrieb:
... Der IE7 unter Vista läuft per Default in einer Sandbox, ...
Zum Vergrößern anklicken....
Der läuft nur mit einem anderen Integrity Level. Den "Protected Mode" des IE kann ich nicht ernsthaft als Sandbox bezeichnen: Man kann auch auf diesem Level alles lesen.
Eine Sandbox auf OS X kann alles unterbinden und das beliebig feinkörnig einstellen: Zig Arten von Kommunikation, sämtliche Zugriffsarten auf beliebig definierte Pfade, und so weiter. Selbst root kommt da nicht raus!
 
Zuletzt bearbeitet:
maba_de schrieb:
... Durch dieses Bug in Safari erlangt der Angreifer volle Rootrechte, OHNE das der User sein Passwort eingeben muss.
Zum Vergrößern anklicken....

Das ist falsch. Der eingeschleuste Code läuft unter dem User, der Safari aufgerufen hat. Der Bug selbst ermöglicht nicht root.

Die "Hacker" gehen aber (immer) pauschal davon aus, daß immer auch ein local root exploit verfügbar ist, der danach weiterhilft, root zu werden.
 
MacMark schrieb:
Der läuft nur mit einem anderen Integrity Level. Den "Protected Mode" des IE kann ich nicht ernsthaft als Sandbox bezeichnen: Man kann auch auf diesem Level alles lesen.
Eine Sandbox auf OS X kann alles unterbinden und das beliebig feinkörnig einstellen: Zig Arten von Kommunikation, sämtliche Zugriffsarten auf beliebig definierte Pfade, und so weiter. Selbst root kommt da nicht raus!
Zum Vergrößern anklicken....

lesen ja, schreiben nein!
Der Unterschied ist, das MS das Feature integriert, während man bei Apple ziemlich basteln muss.
 
maba_de schrieb:
... bei Apple ziemlich basteln muss.
Zum Vergrößern anklicken....

Das ist leider richtig. Die Sandbox-API wurde mit 10.5 eingeführt und ist anfangs eine inoffizielle, kaum dokumentierte API. (Wie das auch bei manchen anderen neuen APIs in OS X der Fall war.) Mit 10.6 wird sie vermutlich offiziell, hoffentlich dokumentiert und idealerweise auch für Normalsterbliche per GUI verfügbar beziehungsweise auch von GUI-Apps eingesetzt und nicht nur von System-Dämonen.

Bevor sie offiziell wird, probiert Apple sie erst selbst systemintern aus und ändert sie meistens auch noch. (Daher kann sie noch nicht zuverlässig von Dritten genutzt werden.) Wenn sie damit durch sind, was man bei 10.6, das ja den Schwerpunkt "security" hat, annehmen sollte, ist Schluß mit Basteln.
 
MacMark schrieb:
Das ist falsch. Der eingeschleuste Code läuft unter dem User, der Safari aufgerufen hat. Der Bug selbst ermöglicht nicht root.
Zum Vergrößern anklicken....

für dieses Jahr habe ich leider keine Infos, bei dem Contest letztes Jahr hat sich der Hacker volle Root Rechte verschafft.
 
maba_de schrieb:
... bei dem Contest letztes Jahr hat sich der Hacker volle Root Rechte verschafft.
Zum Vergrößern anklicken....

Nein, auch letztes Jahr nicht: Ein Buffer-Overflow in der JavaScript-Engine von WebKit ermöglicht Code-Ausführung unter dem Safari-User, nicht aber unter root.
Auch hier müßte man einen weiteren local-root-exploit bemühen, um root zu werden. Wie erwähnt sieht die Hacker-Gemeinde die Verfügbarkeit passender local-root-exploits jedoch immer als gegeben an. Sie gehen davon aus, daß, wenn sie erstmal drin sind, sie auch root werden können - irgendwie.
 
MacMark schrieb:
Nein, auch letztes Jahr nicht: Ein Buffer-Overflow in der JavaScript-Engine von WebKit ermöglicht Code-Ausführung unter dem Safari-User, nicht aber unter root.
Auch hier müßte man einen weiteren local-root-exploit bemühen, um root zu werden. Wie erwähnt sieht die Hacker-Gemeinde die Verfügbarkeit passender local-root-exploits jedoch immer als gegeben an. Sie gehen davon aus, daß, wenn sie erstmal drin sind, sie auch root werden können - irgendwie.
Zum Vergrößern anklicken....

Schlimm genug, unter dem User des Safari liegen zumeist auch die gesamten wichtigen Daten auf dem System.

Man könnte jetzt drüber streiten, ob es erst gefährlich wird wenn man zusätzlich noch root wird. Ich denke überhaupt auf die Maschine zu kömmen ist deutlich gefährlich genug. Wer da drauf ist kann auf meine Daten und um deren Sicherheit geht es mir.
 
alexzero schrieb:
Ich denke überhaupt auf die Maschine zu kömmen ist deutlich gefährlich genug. Wer da drauf ist kann auf meine Daten und um deren Sicherheit geht es mir.
Zum Vergrößern anklicken....

Na ja, laut Wettbewerb gelang dies ja mit allen drei Browsern (IE, Safari, Firefox) sowohl unter Windows als auch unter Mac OS. Sogar der brandneue Internet Explorer 8, der gerade mal einen Tag auf dem Markt war und von Micrsoft mit erheblichen Sicherheitsvorkehrungen ausgestattet wurde, ist prompt gehackt worden. Von daher... Sicherheit ist relativ.
 
benjii schrieb:
... Von daher... Sicherheit ist relativ.
Zum Vergrößern anklicken....

richtig, mit dem Unterschied, das die meisten Windows User sich darüber im Klaren sind, bei Macusern dominiert immer noch diese "Mir_kann_nix_passieren" Haltung, das sieht man ja teilweise auch hier im Thread.
 
benjii schrieb:
... Sogar der brandneue Internet Explorer 8, der gerade mal einen Tag auf dem Markt war und von Micrsoft mit erheblichen Sicherheitsvorkehrungen ausgestattet wurde, ist prompt gehackt worden. Von daher... Sicherheit ist relativ.
Zum Vergrößern anklicken....

Den Safari-Bug, den Miller 2009 nutzte, kannte er schon 2008. Aber es war damals zu schwierig für ihn, einen Exploit dafür zu schreiben (außerdem genügte ihm 2008 der andere Safari-Bug). 2009 war er dann gut genug, den Bug dann auszunutzen.
Er hat also seit über einem Jahr an dem 2009er Exploit gebastelt (neben anderen Dingen wie sein Buch zu schreiben natürlich). Es war also nicht leicht und erst recht nicht "in 2 Minuten", diesen Hack zu schaffen.

Das steht etwas im Gegensatz zu den Aussagen, es wäre so leicht auf dem Mac, weil er dies oder das nicht hätte, was Windows macht. Das sind aber alles keine Techniken, die Exploits verhindern, sondern nur etwas erschweren. Beispielsweise eine zusätzliche Suchroutine im Exploit erfordern.
Wenn es wirklich leicht wäre, dann hätte er den Hack schon vor einem Jahr an einem freien Wochenende geschrieben.

Millers übersetztes Zitat dazu plus Link habe ich hier gestern Abend ergänzt:
http://macmark.de/blog/osx_blog_2009-03.php#macbook_not_hacked_in_two_minutes_again

Es ist allerdings schade, daß Apple den Bug nicht zufällig selbst entdeckt hat in der langen Zeit. Sie sind wohl mit neuen Features von Safari so beschäftigt, daß Code Reviews oder Fuzzing-Tests zu kurz kommen.
 
maba_de schrieb:
richtig, mit dem Unterschied, das die meisten Windows User sich darüber im Klaren sind, bei Macusern dominiert immer noch diese "Mir_kann_nix_passieren" Haltung, das sieht man ja teilweise auch hier im Thread.
Zum Vergrößern anklicken....

Na ja, der Mensch (und Mac-User) ist halt ein seltsames Tier. So lange noch kaum einer Erfahrungen mit Malware auf seinem Rechner sammeln musste, tut sich nicht viel. Und bis jetzt gibt's ja immer noch nicht so gut wie nichts von OS X-Malware in freier Wildbahn...

Das wird sich nach der ersten richtig großen Attacke auf OS X ändern. Aber die wird ja auch schon seit Jahren angekündigt.
 
Einigen wir uns darauf dass Opera der sicherste ist... :D
 
Meiner Meinung wird die Problematik, von der allgemeine Userschaft heillos überschätzt.

Es handelte sich immerhin um einen HACKER Wettbewerb.

- Das bedeutet zum Einen, dass Personen die über umfangreiches KnowHow verfügen Sicherheitslücken ausnützen sollen,um in ein System einzudringen...

Es handelt sich also nicht um die Script-Kiddies von nebenan, die da rumpfuschen, sondern um ausgefuchste Profis, die wissen
was sie wollen. Denn wäre das Ausführen von Code in Safari so einfach, dann würde man keinen Hackerwettbewerb
daraus machen, sondern die Lücke bereits gestopft haben, damit Karlchen von nebenan nicht via WLAN Schabernack treiben kann...
Ich behaupte, dass nur ein sehr kleiner Prozentsatz an Hackern überhaupt diese Lücken nutzen kann, wenn er will.


- Und da sind wir schon beim Zweiten Punkt: Kein professioneller Hacker mit entsprechender krimineller Energie will in MEINEN
iMac oder in mein Macbook eindringen, weil es da im Prinzip nichts zu holen gibt, sondern wenn, dann bricht man in Systeme
ein, bei denen sich das auch rentiert. Und das sind normalerweise Server grosser Firmen oder Institutionen.

- Da habe ich auch schon den dritten Punkt:
Wäre da kein Sicherheitsgedanke hinter dem Wettbewerb und hinter der Ethik der beteiligten Hacker, dann würden diese Exploits
OHNE Wettbewerb still un heilmlich zum Schaden der Opfer ausgenützt, und nicht öffentlich demonstriert. Ein krimineller Hacker
zeigt sicherlich auf keinem Wettbewerb was alles möglich ist, sondern er nutzt sein Wissen um illegal an Informationen zu kommen,
und würde sein Knowhow nicht öffentlich teilen.

Das bedeutet logischerweise der Wettbewerb dient - gewollt oder ungewollt - dazu Sicherheitslücken zu finden, und gegebenenfalls
zu stopfen.


Viel gefährlicher sind die Dinge über die man nichts weiß, weil sie nicht demonstriert bzw veröffentlicht werden, weshalb die ganze
"Sicherheitsdiskussion" hier völlig verspätet erfolgt...

Denn:
- die breite Masse der "Gelegenheitshacker" ist zu dumm die Lücke zu nutzen
- Miller ist bisher der Einzige der einen Exploit schreiben konnte, und dazu benötigte er scheinbar ein Jahr
- Hacker mit krimineller Energie dringen nicht in deinen Rechner ein, weils da nix zu holen gibt (vorausgesetzt sie könnten dies über diese Lücke)

Und: diese Lücken werden zweifellos geschlossen werden.
 
sandtdman schrieb:
....
Zum Vergrößern anklicken....

genau das meine ich!

es gibt nicht nur ein "paar Hacker", die das draufhaben.

Mittlerweile gibt es eine richtige Industrie der Hacker.

Siehe BBC, die mal eben ein Botnetz gekauft haben.

Außerdem sind Lücken in Systemen nicht so selten.
Heute erst auf Heise veröffentlicht (hier geht es um FreeBSD, auch ein Unix):
http://www.heise.de/newsticker/Lokale-Root-Rechte-durch-FreeBSD-Bug--/meldung/135085

Zitat: "Aufgrund eines Fehlers im FreeBSD-Kernel können lokale Nutzer die vollständige Kontrolle über verwundbare Systeme erlangen."

Ein Angreifer, der dem User Schadcode unterschiebt, kann also darüber auch Root Rechte erlangen.
 
Hier ein spannendes Interview mit Charlie Miller, dem der Mac-Hack gelungen ist:

http://www.tomshardware.com/reviews/pwn2own-mac-hack,2254.html

Miller bestätigt, was hier schon im Thread erwähnt wurde: Es war nicht so einfach, wie es aussah. Er hat den Hack mit viel, viel Arbeit vorbereitet, ausgeführt wurde er dann in zwei Minuten.

Er war nicht als Admin auf dem Macbook unterwegs, aber er meint, auch auf der User-Ebene lasse sich schon genug Schaden anrichten.

Der Experte sagt auch, dass es letztendlich keinen sicheren Schutz gegen solche Hacks gebe, auch auf anderen Browsern und Plattformen nicht - einzige Vorsichtsmaßnahme sei nicht auf den Link zu klicken.

Miller empfiehlt dem einfachen User aber einen Mac. Zwar sei der Mac derzeit gegenüber Windows nicht so geschützt, aber es gebe viel mehr Schadsoftware für Windows, so dass der User derzeit mit dem Mac besser fahre. Außerdem wird erwähnt, dass der Schnee Leopard sicherheitstechnisch wohl wieder Boden gut machen soll.

Nicht zuletzt nützt Miller selbst schon seit Jahren nur ein Macbook... ;)
 
sandtdman schrieb:
- Hacker mit krimineller Energie dringen nicht in deinen Rechner ein, weils da nix zu holen gibt (vorausgesetzt sie könnten dies über diese Lücke)
Zum Vergrößern anklicken....

Botnetze bestehen also nur aus großen Servern bekannter Unternehmen?
 
benjii schrieb:
Miller bestätigt, was hier schon im Thread erwähnt wurde: Es war nicht so einfach, wie es aussah. Er hat den Hack mit viel, viel Arbeit vorbereitet, ausgeführt wurde er dann in zwei Minuten.;)
Zum Vergrößern anklicken....

Genauso habe ich mir das vorgestellt, sugeriert wir aber dass das System in 2 Minuten zu knacken ist.

Ich liebe diese Schlagzeilen, die nur zur Verdummung und Stammtischweisheiten führen.

Was lernt man also?
Es ist nichts so einfach wie es scheint.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten