Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 88, views: 53.904 •

Een Frans hackersteam heeft bij een gerichte aanval Googles Chrome-browser als eerste weten te hacken bij de bekende Pwn2Own-wedstrijd. Vorig jaar bleef Chrome overeind en de Fransen wilden aantonen dat geen applicatie onkraakbaar is.

De Fransen slaagden erin een exploit binnen Chrome te openen via een speciale website die ervoor zorgde dat de calculator-app van Windows geopend werd. Daarmee werd de sandbox van de browser omzeild. De hack vond plaats op een volledig gepatchte Windows 7 SP1-machine en de Fransen werkten zes weken aan het vinden van de kwetsbaarheden en het schrijven van de exploits. Het team omzeilde naast de Chrome-sandbox onder andere de data execution prevention en address space layout randomization in Windows.

Het team wint 32 punten voor de competitie en maakt kans op de hoofdprijs van 60.000 dollar en nog eens 60.000 dollar die Google apart beschikbaar heeft gesteld voor een volledige hack van Chrome. Of de Fransen in aanmerking komen voor deze laatste beloning is echter onduidelijk.

Google verklaarde eerder de Pwn2Own-wedstrijd niet meer te sponsoren, aangezien de reglementen niet vereisen dat de deelnemers details van hun exploit openbaren. Google houdt daarom tegelijkertijd in Canada zijn eigen Pwnium-initiatief, waarbij het wel details eist. Pwn2Own wordt georganiseerd door HP Tippingpoint Zero Day Initiative. De organisatie verklaarde dat deelnemers alleen een hack hoeven te demonstreren, waarna HP Tippingpoint de kwetsbaarheden kan blokkeren in zijn security-applicaties voor de enterprisemarkt.

De kans dat de Fransen hun hack publiek maken is echter klein. Het controversiële bedrijf Vupen, dat exploits verkoopt aan overheidsklanten, zit er namelijk achter. Vupen verklaarde tegen ZDNet de rechten op de zero-day-kwetsbaarheden te verkopen en de sandbox-omzeiling voor zichzelf te houden. Overigens complimenteerde Chaouki Bekrar Google met de beveiliging van Chrome, die volgens hem de veiligste sandbox heeft. Ook voor de andere browsers heeft Vupen exploits, maar het bedrijf besloot eerst Chrome aan te vallen.

Reacties (88)

Zes weken voorbereiding en 'binnen 5 minuten gehacked' !? ;)
Neem aan dat ze zes weken nodig hadden om een gat te vinden en toen ze hem hadden in 5 minuten de code geschreven hebben. Maar, het is idd een beetje een chocoladeletter-Telegraafkop.
Er staat duidelijk in de tekst dat ze die 6 weken gebruikt hebben om het lek te vinden, te exploiteren en voor te bereiden zodat ze op het evenement in 5 minuten de browser konden hacken.
De code zullen ze ook al vooraf hebben geschreven.
Dat doe je echt niet in 5 minuten.

Die 5 minuten zullen vooral gezeten hebben in de uitvoering van de hack.
Het is vooral hun site met de exploit opstarten en er vervolgens heen surfen met Chrome op de doelmachine en het exffect van de exploit aan de jury tonene en de exploit site weer uit de lucht halen.
De code zullen ze ook al vooraf hebben geschreven.
Dat doe je echt niet in 5 minuten.
Dergelijke code is vaak duivels simpel. Ik heb ze exploit code in 5 seconden zien schrijven, live and in color, inclusief het door gcc heenjagen. :)

zeker als het enige wat ie moet doen een call is naar c:\windows\calc.exe :)
Net als een monteur die met een klap van de hamer je verwarming repareert moet je wel precies weten waar te slaan en hoe hard. Dus de code is simpel maar je hebt wel jaren ervaring nodig om te weten wat je moet schrijven en hoe.
Ze hebben in die 6 weken ook flink typtraining gehad om die code live binnen 5 minuten uit te tikken. :)
Ze hebben zes weken voorbereidingstijd nodig. Dus het vinden van het gat en het maken van een website die de exploit mogelijk maakt.

Op de Pwn2Own wedstrijd zelf hebben ze nog 5 minuten nodig gehad om chrome te starten naar de gemaakte website te gaan, op wat links te klikken e.d. voordat, in dit geval, de calculator in windows gestart werd.

Dus na de voorbereiding is elke windowscomputer met chrome in 5 minuten te hacken.
Ze hebben zes weken voorbereidingstijd nodig. Dus het vinden van het gat en het maken van een website die de exploit mogelijk maakt.

Op de Pwn2Own wedstrijd zelf hebben ze nog 5 minuten nodig gehad om chrome te starten naar de gemaakte website te gaan, op wat links te klikken e.d. voordat, in dit geval, de calculator in windows gestart werd.

Dus na de voorbereiding is elke windowscomputer met chrome in 5 minuten te hacken.
Ik maak websites in 5 minuten wist je dat? Wel 2 maanden nodig om de site 'voor te bereiden' maar het uploaden duurt nou eenmaal 5 minuten, als ik straks 2x zo snelle upload heb zelfs 2.5 minuten...

Blijft gewoon een loze telegraafknop wat mij betreft dus!

ontopic:
Wel leuk om te zien dat Chrome eindelijk is aan de beurt is!
Eindelijk?
Http://webwereld.nl/nieuw...-security-patch-ooit.html

Chrome is gedeeltelijk gebaseerd op khtml, als daar fouten in zitten is chrome ook het haasje. Het is niet zo dat google een browser uit scratch heeft opgebouwd.
Volgens mij is de enige link tussen Chrome en KHTML via het webkit project (van Apple).

Bovendien is KHTML slechts een render engine. In de browser zitten meer onderdelen, waarvan het waarschijnlijker is dat deze kwetsbaarheden bevatten. Denk aan het plug-in systeem of aan de javascript engine.

edit: in het artikel dat aangehaald wordt, bestrijdt Google een eerdere claim van de Fransen omdat deze met een kwetsbaarheid van Flash te maken had. Niet onwaarschijnlijk dat dit weer het geval is.

edit @onder: Dit klopt, Apple bleek geen interesse te hebben om samen te werken met het KHTML team (maar wel in hun code). Met name via de Qt-toolkit is binnen de KDE omgeving ook webkit beschikbaar. Binnen het OS (KDE4.x) schijnt KHTML echter ook diep geÔntegreerd te zijn.

[Reactie gewijzigd door snirpsnirp op 8 maart 2012 14:07]

het webkit project (van Apple).
Webit is niet van Apple, het is een fork van het oude Konqueror/KHTML open source project. Er werken tegenwoordig meer Google mensen dan Apple devs aan.
De link tussen KHTML en Webkit (waar chrome weer gebruik van maakt) niet meer zo sterk. De code is wel dusdanig anders dat je er niet van uit kunt gaan dat alles wat onder KHTML mis kan gaan dat ook bij webkit kan doen.

Volgens mij spelen de KDE developers ook met het idee om het werk aan KHTML stop te zetten en verder te gaan met webkit. Het is al mogelijk om Konqueror webkit te laten gebruiken en verder is er nog ReKonq alhoewel dat volgens mij weer van een compleet andere developer is.
Met de kop is op zich niets mis natuurijk. Er staat duidelijk 5 minuten na start van de wedstrijd.

Usain Bolt heeft ook maar een paar seconden nodig om een wedstrijd te winnen. Daarbij zeg je ook niet dat hij 20 jaar voorbereidingstijd nodig had.
Het zijn overigens mooie prijzen.

Al begrijp ik niet waarom Pwn2Own zijn regels aanpast waardoor een exploit niet geopenbaard hoeft te worden. Dat lijkt mij juist de bedoeling van dit soort wedstrijden?
De ene kant kan ik je heel erg goed begrijpen. Maar ik denk dat je ook de andere kant vergeet.


Stel voor je hebt ook eigen browser gemaakt en je doet mee aan zo'n wedstrijd.
Dan is er een mogelijkheid dat je browser gehacked kan worden.

Denk niet dat je vrolijk wordt, als dit allemaal openbaar wordt gemaakt en dat je browser de paar weken kwetsbaar is door deze exploit, waardoor er dus misbruik gemaakt kan worden van je browser.

Tuurlijk is het handig voor het bedrijf om te weten welke methode en welke codes ervoor zijn gebruikt, zodat je de probleem snel kan oplossen.


Toch is het een compliment voor google dat ze 1 van de veiligste sandbox hebben, alleen jammer dat de hackers google de codes niet geven :(
ik denk dat je er vrolijk van wordt dat je het gat kan gaan dichten dan, de doel van de wedstrijd is altijd al geweest producten te verbeteren in veiligheid. dit is nu dus anders en ik kan me goed voorstellen dat meerdere mensen hier toch nee gaan zeggen tegen deelnemen van hun product.
Google betaalt een deel van het prijzengeld. Daar willen ze wat voor terug: of een 'statement' dat hun browser veilig is (en dus niet gehacked kan worden), of gedetailleerde informatie hoe een eventuele exploit dan wel werkt.

Als de exploit meteen het publieke domein ingeslingerd wordt, dan stapt elk wijs man meteen van Chrome af totdat er een fix is, omdat de hackers-scene die exploit meteen op grote schaal zal gaan misbruiken...
Nee, Google betaalt dus NIET een deel van het prijzengeld (of niet meer):
Google verklaarde eerder de Pwn2Own-wedstrijd niet meer te sponsoren, aangezien de reglementen niet vereisen dat de deelnemers details van hun exploit openbaren. Google houdt daarom tegelijkertijd in Canada zijn eigen Pwnium-initiatief, waarbij het wel details eist. Pwn2Own wordt georganiseerd door HP Tippingpoint Zero Day Initiative. De organisatie verklaarde dat deelnemers alleen een hack hoeven te demonstreren, waarna HP Tippingpoint de kwetsbaarheden kan blokkeren in zijn security-applicaties voor de enterprisemarkt.
Oftewel, HP gaat fixes in hun software (Tippingpoint) stoppen, maar het niet bekend maken bij de ontwikkelaar van die software. Met andere woorden, je moet die zooi van HP kopen om veilig te zijn. Erg gore tactiek van HP dit, doet denken aan antivirus bouwers die zelf virussen de wereld in slingeren zodat hun product verkoopt.
omdat de hackers-scene die exploit meteen op grote schaal zal gaan misbruiken...
Misschien wordt dat allang gedaan, wie zegt namelijk dat deze Fransen de enige zijn die dit (of andere) lek kennen. Dat is ook het gevaar met open source, men zegt dat fouten snel gevonden worden ... dat kan wel zo zijn, maar niemand zegt dat al deze fouten netjes aangegeven en gefixed worden. Er zijn namelijk genoeg mensen die er belang bij hebben dat deze gaten netjes open blijven.
En hoe is dat anders bij closed source? Alsof kwaadwillende hackers dan wel de exploit doorgeven?
Heeft niets met closed source te maken.
Het gaat er om dat bij opensource vaak gezegd wordt: "De source is openbaar, iedereen kan een eventuele exploit zien en repareren, dus het moet wel veilig zijn"
Dat is natuurlijk helemaal niet het geval, zolang die exploits prive gehouden worden.
Klopt natuurlijk, maar puur statistisch gezien is het wel waar dat hoe meer mensen de code bekijken, hoe groter de kans is dat een exploit opgespoord wordt. Het bekende "vier ogen zien meer dan twee" principe.
Stel voor je hebt ook eigen browser gemaakt en je doet mee aan zo'n wedstrijd.
Dan is er een mogelijkheid dat je browser gehacked kan worden.
Dat is juist de ellende van Pwn2Own. Je doet mee aan de wedstrijd. Je browser wordt gehacked. Maar je loopt kans dat je niet te horen krijgt wat het probleem met je eigen browser is, omdat de hacker geen informatie wil geven.

En het feit dat bekend is dat het mogelijk is, zal veel aandacht trekken. Dus Pwn2Own verhoogt mogelijk het risico.
Andersom. Je weet dat je een probleem hebt. Nu is het aan jou om of zelf het probleem te vinden en op te lossen of om met de hacker om tafel te gaan zitten en een contract te sluiten.

De hacker kan dus zelf de waarde van zijn hack bepalen in plaats van dat hij slechts een (vooraf onbekend en lastig in te schatten) deel van een prijzenpot krijgt.
Tuurlijk is het handig voor het bedrijf om te weten welke methode en welke codes ervoor zijn gebruikt, zodat je de probleem snel kan oplossen.
Het punt is alleen dat de reglementen zo zijn aangepast dat de hacker in het geheel geen details bekend hoeft te maken. Niet alleen hoeven ze de code en de exploit niet publiekelijk bekend te maken, maar ze hoeven ook de browserbouwer niet te vertellen hoe ze het precies hebben gedaan.

Zoals ook in het artikel staat, zal de hackende organisatie maar een deel van de exploit bekend wil maken en een deel voor zichzelf wil houden.
Stel voor je hebt ook eigen browser gemaakt en je doet mee aan zo'n wedstrijd.
Dan is er een mogelijkheid dat je browser gehacked kan worden.

Denk niet dat je vrolijk wordt, als dit allemaal openbaar wordt gemaakt en dat je browser de paar weken kwetsbaar is door deze exploit, waardoor er dus misbruik gemaakt kan worden van je browser.


Je slaat precies de plank mis. Je wil juist weten hoe die exploit gevonden is. Als jij 't niet weet kan je het ook niet fixen en wordt de browser ooit wel een keer gehacked door iemand anders. Eventuele naamschade heb je toch al wel, want de conclusie "chrome is hackbaar" komt toch wel naar buiten (met of zonder stappenplan om het uit te voeren).

Dat vervolgens elke script kiddie de gepubliceerde exploit zou kunnen nabootsen is een kleine prijs voor een uiteindelijk veilige(re) browser.
Pwn2Own wordt georganiseerd door HP Tippingpoint Zero Day Initiative. De organisatie verklaarde dat deelnemers alleen een hack hoeven te demonstreren, waarna HP Tippingpoint de kwetsbaarheden kan blokkeren in zijn security-applicaties voor de enterprisemarkt.
puur commercieel belang dus.

ze verkopen zelf de oplossing voor de exploit aan bedrijven
Nee, ze verkopen geen oplossing, ze verkopen informatie over de kwetsbaarheid en hoe die te gebruiken is. Geheime diensten zijn echt wel geÔnteresseerd in dat soort informatie...
Jullie hebben beide gelijk.

HP gebruikt (sponsort) deze wedstrijd om zijn Tippingpoint met de gevonden hacks bij te werken, zodat "hun klanten" beter beveiligt zijn.

Vupen (dat de hack vond) verkopen de informatie over deze hack aan overheden.

Dus de oplossing wordt door HP verkocht, de informatie door Vupen.
Dus Google zal waarschijnlijk Vupen moeten betalen om informatie over deze hack te krijgen. Aan de andere kant, als Vupen de informatie aan Google verkoopt, zal deze exploit gefixt worden.
ja het artikel doet vermoeden dat de hackers binnen 5 minuten na de start het hele proces hebben doorgelopen tot de hack. Ik dacht trouwens dat iedereen die een hack vond sowieso een x bedrag kreeg van google en niet slechts 'in aanmerking' kwam?
ja het artikel doet vermoeden dat de hackers binnen 5 minuten na de start het hele proces hebben doorgelopen tot de hack. Ik dacht trouwens dat iedereen die een hack vond sowieso een x bedrag kreeg van google en niet slechts 'in aanmerking' kwam?
Heb je de tekst wel gelezen ? Je komt pas in aanmerking als je de hack ook openbaar maakt, wat dit groepje hackers niet doet.
Overigens staat er ook in de tekst dat Google deze wedstrijd niet meer sponsort
Ik dacht trouwens dat iedereen die een hack vond sowieso een x bedrag kreeg van google en niet slechts 'in aanmerking' kwam
Niet in deze wedstrijd.
Wel is er geld als je goede exploits bij Google in het Pwnium aanmeld (waarbij Google dan natuurlijk alle exploit info krijgt)

Chrome is trouwens ook uin hun eigen Pwnium event geowned.
Chrome was dubbel gehacked op 1 dag dus.

Ook IE8 op XP en FF3 op XP zijn gehacked op Pwn2own en ook Safari 5 op OSX Snow Leopard

[Reactie gewijzigd door hAl op 8 maart 2012 11:08]

Hahaha, ik heb mijn vriendin weken vesierd en binnen een minuut vroeg ik haar mee uit...:-P

Maar kan iemand mij uitleggen hoe dat werkt met de exploits verkopen? Wat verkopen ze dan precies? Verkopen ze dan de lekken? Mag dat wel?
Een exploit is een lek in je besturings systeem en of software die er voor zorgt dat je zonder toestemming code kunt uitvoeren. Normaal gesproken als je bijv een programma wilt installeren grijpt windows in en vraag om toestemming. Of je virus scanner herkent de code als virus en grijpt in. Een zero day exploit is een lek waar nog niemand van op de hoogte is en waar dus ook nog geen patch voor uitgebracht is en geen enkele virus scanner kent hem. Als je dus een stuk code wilt uitvoeren op iemand zijn systeem is een zero day exploid een trefzekere manier om dit te doen.
Het probleem is dat het veel tijd en moeite kost om er een te vinden.
Als je er dus een gevonden hebt kun je die goed verkopen op de zwarte markt en overheden.
Je verkoopt dus de informatie die nodig is om deze exploit uit te voeren. Zodat iemand anders zijn kwaadwillende code/programma ongevraagd na het gebruiken van de exploit kan uitvoeren.

Het stuxnet virus is hier een goed voorbeeld van.
Het stuxnet virus een virus gericht op Iraanse nucleaire verrijkingscentrale bevatte 3 zero day exploits. Dit om er zeker van te zijn dat in het onwaarschijnlijke geval het op de juiste computer terecht zou komen het zeker weten zijn werk kon doen (wat ook gebeurd is)
Er werd een zero day exploit gebruikt om het systeem daar code te laten uitvoeren die de verrijkings centrale "stuk" maakte.
Aangezien 3 zero day exploits veel geld kosten en het onwaarschijnlijk is dat 1 organisatie ze vind gaat men er van uit dat het een virus is dat door de amerikaanse of israelische geheime dienst is gemaakt. Die hebben het geld om 3 exploits te kopen en de mankracht om dit te maken. Er waren nog meer aanwijzingen die in deze richting gingen buiten de kosten en tijd.

Er zijn ook genoeg partijen buiten de overheid, neem internet criminelen die ook zeer geÔnteresseerd zijn in zero day exploits. Of het mag weet ik niet maar het lijkt er op dat het bedrijf vupen er hun werk van heeft gemaakt. Misschien mag het alleen als je aan de overheid verkoopt.

Tof artikel over stuxnet en de zero day exploits hierin.
http://www.wired.com/thre...tives-deciphered-stuxnet/

[Reactie gewijzigd door kaaas op 8 maart 2012 21:08]

Zes weken voorbereiding en 'binnen 5 minuten gehacked' !? ;)
Nee, dat staat er niet. Er staat dat Chrome gehacked is, 5 minuten nŠ de start van Pwn2Own. En anders is het dat Chrome 5 gehacked is, minuten na de opening van Pwn2Own. Beetje kromme titel, ben het met je eens, maar het klopt wel. Ik ga namelijk er vanuit dat de eerste mogelijkheid die ik aandraag de juiste is. :)

Als deze gasten slim zijn, bewaren ze de details en geven ze die voor het Pwnium event, kunnen ze als ze mazzel hebben dubbel cashen voor dezelfde hack. :)

[Reactie gewijzigd door CptChaos op 8 maart 2012 12:40]

Het controversiŽle bedrijf Vupen, dat exploits verkoopt aan overheidsklanten,

(...)

Ook voor de andere browsers heeft Vupen exploits,
Dan maar het internet op met Lynx, in een virtuele machine, op een aparte fysieke machine. Of gewoon een willekeurige browser gebruiken met VirtualBox in seamless mode. ;)

[Reactie gewijzigd door The Zep Man op 8 maart 2012 08:24]

Iets zegt me dat dit vooral of volledig windows-exploits zijn.
Neemt niet weg dat het verstandig is waakzaam te blijven vanaf elk OS..
Heb je geklikt op de link in het artikel?

Daarin wordt gesteld dat de hackers 2 bypasses nodig hadden. …ťn voor windows om DEP en ASLR te passeren, ťn ťťn voor het passeren van de sandbox. Dus nee: geen 'vooral of volledige' windows-exploits.
Waarom dan niet gewoon een VM draaien en daarin browsen?
Dan kan je na iedere sessie VM image dichtmikken en weer opnieuw opstarten.

Scheelt toch weer wat hardware ;)

[ontopic]
Blijft ook heel erg moeilijk om een product echt hack-proof te krijgen lijkt me.
Je kan nog zo je best doen op je eigen pakket, zolang je

1) Gebruik maakt van API calls op het OS, ben je afhankelijk van het feit dat daar geen lekken inzitten. (Bijv, gaten in font rendering enzo).

2) Toelaat dat er plugins in je browser draaien, dan ben je afhankelijk van het feit dat die componenten zich goed gedragen (Bijv gaten in flash).

Bij 2 kan je nog gaan sandboxen maar dan moet de plugin zelf geen API/OS calls maken (OF moet je die allemaal gaan afvangen).

En ja de claim van 5 minuten... ik zou daar ook 6 weken van maken. En of google nu precies weet hoe ze het gedaan hebben of niet. ze weten in ieder geval dat er nog kwetsbaarheden inzitten.

[edit: fix kleine typo]

[Reactie gewijzigd door Pep7777 op 8 maart 2012 09:26]

Google weet net als de meeste andere niet al te arrogante producenten van software dat hun code fouten bevat en dus gehackt zou kunnen worden. Vandaar ook dat men hoge bedragen uitlooft voor het hacken van de software in de hoop deze gaten te kunnen vinden en dichten.

Een 100% veilig stuk code bestaat simpel weg niet zo als je zelf al aangeeft maar je kunt wel een heleboel dingen heel erg goed afschermen en zo als de hackers zelf ook al aan gegeven hebben de Google sandbox is erg veilig (en dus lastig te hacken) dat het niet onmogelijk is moge duidelijk zijn een bedrijf dat haar geld verdient met overheden de mogelijkheid bieden opponenten te bespioneren weet dat het erg veel geld kan verdienen met het vinden van een lek en kan er dus erg veel resources tegen aan gooien om een gat te vinden. Iets wat de meeste hobby hackers simpel weg niet kunnen.
Als je je bedenkt dat een bedrijf dat zich in dit werk specialiseert 6 weken bezig is een gat te vinden met een man of 6 dan is het goed voor te stellen dat voor een hobby projectje de benodigde 1440 uur toch een beetje veel werk is om slechts een gat te vinden.

Ik zou dan ook zeggen dat af gezien van het feit dat er organisaties zijn die dit soort hacks uitvoeren voor misdadige overheden het toch wel aangeeft dat Chrome een erg veilige browser is.
Kleine nuancering:

100% veilige code bestaat wel (simpelweg al je algoritmes wiskundig bewijzen, ga dhr Edsger W Dijkstra maar eens googlen), maar het schrijven van een beetje fatsoenlijke applicatie hierin is simpelweg niet haalbaar.

Wel wordt dit soort programmeermethodes gebruikt voor (kleine) embedded software zaken. Daarom zie je dat simpele software (zoals die van je scheerapparaat bv) vrijwel nooit crashed.
En daar weer een nuancering op:

Er is een verschil tussen niet crashen en veilig zijn. Ik heb de kernel van Windows Server 2008 R2 nog nooit zien crashen, maar dat betekent zeker niet dat die dan 100% veilig is. 100% veilige code is wellicht een mythe, maar het is al heel wat beter haalbaar wanneer je een managed OS gebruikt.
Waarom dan niet gewoon een VM draaien en daarin browsen?
Omdat de hack dan evengoed werken zal. Het is een proof of concept, op wat voor systeem, al is het een VM, maakt dan toch niet uit? Het is bewezen dat Chrome dus niet zo dicht is als men zegt dat het is. Wel of geen VM maakt dan niet uit.

Een VM geeft dan dus een klein beetje meer privacy en security through obscurity.
Waarom dan niet gewoon een VM draaien en daarin browsen?
De sandbox *is* een VM. De hack is dat kwaadaardige code dwars door de sandbox heen breekt en in het host OS kan komen.

[Reactie gewijzigd door Dreamvoid op 8 maart 2012 14:43]

zes weken aan het vinden van de kwetsbaarheden en het schrijven van de exploits
zo bijzonder is dat dan toch niet, lijkt mij? zo kan ik het ook in 5 minuten hoor (a)
ik blijf gewoon chrome gebruiken, ik ga hierdoor echt niet om switchen naar een andere browser...

[Reactie gewijzigd door _-SaVaGe-_ op 8 maart 2012 08:23]

Lekker bedrijf, dat Vupen. Exploits verkopen aan overheidsklanten :X Overigens is dat "binnen 5 minuten gehackt" een erg suggestieve uitspraak als je de wekenlange voorbereiding ziet. Het is niet alsof ze begonnen met hun hackpoging toen Pwn2Own begon :) Ook suggereert de titel nu dat Chrome heel eenvoudig te hacken is (zonder iets te zeggen over andere browsers), terwijl het juist een van de veiligste browsers blijkt te zijn. Hoe snel zijn andere browsers dan te hacken?
Vupen is inderdaad een zeer bedenkelijk bedrijf; zou me niks verbazen als er wat discutabele regimes tot hun klandizie behoren. Hopen dus dat iemand anders de hack kan reproduceren zodat Vupen deze cash-cow gauw kwijt is.
Laat onverlet dat er vast nog een hoop 'stille' 0-days ergens op de plank liggen die, als de nood aan de man is, wel ingezet zullen worden.
Er is markt voor, dus zijn er ook aanbieders. Ik ken het bedrijf verder niet. Doet me denken aan Stuxnet waar ook diverse zero-days gebruikt zijn (plus nog een hoop andere). Klant misschien?
Een bedrijf als Vupen is overigens een interessante werkgever. Je krijgt waarschijnlijk heel wat tijd om jezelf te ontwikkelen en bij te blijven. Je loopt immers vooraan. Salaris zal ook wel navenant zijn want zoveel gekwalificeerd personeel zal er wel niet te krijgen zijn. Geredeneerd vanuit het bedrijf, als ik zero-days kan vinden kan ik ze braaf melden aan Microsoft, Google enz en er een x-bedrag voor krijgen. Wanneer ik met dezelfde hoeveelheid werk een bedrag van 2x of 3x of nog veel meer kan krijgen, waarbij de klanten ook nog eens overheden zijn, dan is de keus begrijpelijk. Overheden zijn nog steeds legitiem, of het ethisch is laat ik in het midden, vooral bij regimes zoals SyriŽ , Iran of China is het zeer dubieus. Maar misschien zijn er richtlijnen voor dit soort informatie aan dat soort dubieuze landen. je zit natuurlijk ook met spionage waaraan je niet mag meewerken.

Edit: Ah, zie ook de post vab Spheriod hieronder.

[Reactie gewijzigd door Floor op 8 maart 2012 09:09]

Je gaat jezelf afvragen wat is intressanter voor mijn: Het vertellen aan Google of verkopen aan Vupen :) Als je een goede exploit heb dan is dat klaarblijkelijk een hoop geld waard.
Ik denk dat ze bij Google nog wel even bezig om het gat in Chrome te dichten. Ik hoop dat ze het verhelpen.
Tuurlijk gaan ze het verhelpen, maar ze moeten wel eerst weten waar ze moeten zoeken ;)
Kan daar de Franse hackers-team, Google niet bij helpen dan? Lijkt me een mooi moment om samen te gaan werken. ;)
Doubt it. Uit het artikel:
De kans dat de Fransen hun hack publiek maken is echter klein. Het controversiŽle bedrijf Vupen, dat exploits verkoopt aan overheidsklanten, zit er namelijk achter. Vupen verklaarde tegen ZDNet de rechten op de zero-day-kwetsbaarheden te verkopen en de sandbox-omzeiling voor zichzelf te houden.
Zou wat zijn als ze op die exploits nog patenten wisten te krijgen.

Maar om die gaan verkopen is mooie luchthandel zeg. Maar wel moreel gezien niet helemaal Max Havelaar koffie.
Patent? Op een exploit die je geheim wil houden zodat je hem kan doorverkopen? Dat is in tegenspraak. Als je iets patenteert moet je alle details publiceren middels je patent.

Ook is het twijfelachtig of je een exploit kunt patenteren. Het enige wat je denk ik kan patenteren is hoe de technologie in te zetten dat een beschreven exploit onmogelijk wordt.

Er heerst een lichte vorm van mythevorming rond patenten op Tweakers.net heb ik het gevoel...
Goed dat je zegt dat het je mening is, want argumenten kom ik niet echt tegen in je reactie...
Of je hebt een klap op je hoofd gehad of je bent zo sarcastisch dat niemand het door heeft :)
Ik had nog nooit van de Vupen gehoord, maar dat lijkt me idd. best een shady business. Zo stellen ze hier:
As the world leader in vulnerability research, VUPEN provides government grade exploits specifically designed for the Intelligence community and national security agencies to help them achieve their offensive and lawful intercept missions using extremely sophisticated codes created in-house by VUPEN.
Hoe controleren ze of hun exploits alleen voor lawful missions gebruikt worden?

Zelf stellen ze:
Because of the sensitive nature of the information provided through this service, VUPEN has defined strict eligibility criteria for participants. VUPEN solely reserves the right to determine whether an organization or agency meets the criteria.

Access to this service is restricted to organizations (Law Enforcement and Intelligence agencies only) from countries members or partners of NATO, ANZUS and ASEAN. Countries which are subject to international embargoes are not eligible.
Tussen die organisaties zitten nog best wat landen die graag op eigen houtje bepalen wat lawful is en wat dat niet is. Neem de VS met hun patriot act, of bijv. Singapore, een dictatuur waar de oppositie verdomd effectief monddood gemaakt wordt (met hulp van Vupen?)

Ik denk dat de uitvoerder altijd zal stellen dat zijn missie lawful is, maar als die missie over de landsgrenzen plaatsvind hij in het buitenland wel eens goed illegaal zou kunnen zijn. Nu is dat probleem natuurlijk per definitie van toepassing op intelligence werk, maar om nu een bedrijf op te richten om er geld aan te verdienen is op zijn minst cru.

[Reactie gewijzigd door Spheroid op 8 maart 2012 08:47]

Het is gewoon een wapen handel. Maar dit alles is niet exclusief voor VUPEN.
Wie zegt dat er niet net nog meer groepen zijn die een verzameling exploits hebben.

Hacking is allang professioneel en sommige stellen dat er meer geld mee gemoeit is dan de wereldwijde drugshandel imho.
Digital-Warfare is misschien nog wel dichterbij dan we nu denken. Ook deze "oorlog" zal gunstig zijn voor grote coŲperaties zoals VUPEN.

Een quote uit Iron Man:
Tony Stark: My old man had a philosophy: Peace means having a bigger stick than the other guy.
Christine Everheart: That's a great line coming from the guy selling the sticks.
Dat cyberoorlog een zeer belangrijk onderdeel is van moderne defensie-apparaten is natuurlijk al langer bekend. Het is idd. interessant dat in een periode van extreme bezuinigingen in bijv. Groot BritanniŽ, de uitgaven voor cyber warfare gestaag toenemen. http://www.guardian.co.uk...ce-spending-increase-cuts.

Waar ik me een beetje zorgen om maak is dat Vupen het voeren van cyberoorlog vergemakkelijkt. Het is voor landen soms best een opgave om de benodigde expertise te ontwikkelen en in te zetten. Maar wat nu als Vupen een exploit verkoopt/least/whatever aan een intelligence agency. Dat doen ze volgens henzelf alleen als die dingen voor lawful missions gebruikt worden. Echter, wat let een agency zo'n exploit te reverse-engineeren en daarop voort te bouwen? Wat let ze om een exploit door te verkopen aan een dienst waar Vupen zelf geen zaken mee doet?

Sommige NAVO-landen (VS) werken bijvoorbeeld vrij nauw samen met landen als IsraŽl. Een land als IsraŽl is vast geÔnteresseerd in het gebruiken van exploits voor offensive security missies richting bijv. Iran. Dat ze daartoe samenwerken met de VS is in ieder geval geen onbekend scenario: http://tweakers.net/nieuw...men-op-effectiviteit.html

Een organisatie als Vupen maakt cyberoorlog gemakkelijker, door staten de moeite te besparen zelf exploits te ontwikkelen. Ik vraag me af of we, net als met internationale wapenhandel niet veel meer gespitst moeten zijn op het misbruik van dit soort kennis.
Vind het niet een bijster goed initiatief als de veiligheid van het product niet verbeterd wordt als de hackers niet (moeten) meewerken.
Het enige dat je dan weet is dat er een gat zit en je ziet wat er mee kan. Maar hoe je het oplost dat is dan idd de vraag.
Om te kunnen winnen moet Vupen de details vrij geven van de kwetsbaarheid die ze gebruikt hebben om het renderer process van de chrome browser over te nemen. De details over de daarna volgende sandbox escape hoeft te worden vrijgegeven.

Gedetaileerde redenen hiervoor kun je vinden in: http://dvlabs.tippingpoint.com/blog/2012/02/29/pwn2own-and-pwnium

Kort samengevat: door niet de eis te stellen dat de contestant de sandbox escape vrijgeeft hoopt TippingPoint meer mensen over te halen om mee te doen aan de wedstrijd en daardoor uiteindelijk in staat te zijn om meer gaten te kunnen verhelpen.
Ik denk wel dat het voor de gemiddelde hacker makkelijker is om in Chrome een lek te vinden dan in een Firefox, Opera of IE. Volgens mij als je de broncode van Chromium als inspiratiebron gebruikt kom je een aardig eind denk ik.

Het is natuurlijk aan de andere kant zo dat er bij Open Source software meer mensen meekijken waardoor eventuele lekken sneller gedicht zijn.
Firefox is ook opensource, ik zie niet waarom Chrome omdat het opensource is gemakkelijker te exploiten zou vallen dan Firefox. Internet Explorer is trouwens het beste voorbeeld dat closed-source niet per se veiliger is. Ik denk dat er meer waarheid zit in je laatste alinea dan in de eerste.

[Reactie gewijzigd door Petervanakelyen op 8 maart 2012 09:45]

Als je even verder leest dan je neus lang is, zie je dat de conclusie van deze hack is dat de hacker Google complimenteert met de beveiliging van de Chrome sandbox en dat hij Chrome nog steeds als de veiligste browser beschouwt.
Het feit dat Chrome nu als eerste viel kwam doordat ze er gewoon de meeste aandacht aan schonken in deze wedstrijd en omdat ze erg graag iets wilden bewijzen.
De code geheimhouden in de hoop het moeilijker te maken wordt 'security through obscurity' genoemd: je fouten wegmoffelen onder tafel en wat niet weet, niet deert.

In principe zou je code zo opgebouwd moeten zijn dat zelfs al heb je de code, dan nog ben je er niets mee. Ik kan op wikipedia de interne werking van een hangslot opzoeken, maar dat betekent nog niet dat ik daarmee een manier heb om met een haarspeld het slot open te krijgen, een beetje hetzelfde principe. Die hackwedstrijden zijn dan ook een soort externe reviewwedstrijden en kat-en-muisspelletjes waarbij je mensen beloont voor het vinden van fouten in je software vůůr kwaadwillende figuren het ontdekken.

edit: Firefox is trouwens ook open source hoor ;)

[Reactie gewijzigd door Bauknecht op 8 maart 2012 10:02]

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Samsung Smartphones Beheer en beveiliging Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013