Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 157 reacties

Een beveiligingsonderzoeker heeft op de Pwn2Own-hackingcompetitie als eerste een prijs in de wacht weten te slepen. De onderzoeker vond en gebruikte een gat in Safari, waardoor er code kon worden uitgevoerd op een Mac OS X-machine.

SafariDe exploit werkte met Safari 5.0.3 en een volledig gepatchte 64bit-Mac OS X 10.6.6-installatie, meldt ZDNet. Het bedrijf van beveiligingsonderzoeker Chaouki Bekrar ontwikkelde een website die, wanneer deze werd bezocht, binnen vijf seconden de rekenmachine van Mac OS X start en een bestand naar de desktop wegschrijft.

Details over de hack zijn nog niet vrijgegeven, maar duidelijk is wel dat de aanval shellcode uitvoert via return oriented programming en de aslr- en dep-beschermingen die Apple heeft ingebouwd, weet te omzeilen. De onderzoekers krijgen 15.000 euro en een MacBook Air als beloning.

Volgens Bekrar werd het maken van een betrouwbare, werkende exploit bemoeilijkt doordat er weinig documentatie beschikbaar is over het misbruiken van lekken in de 64bit-versie van Mac OS X. Een team van drie man is twee weken bezig geweest om de kwetsbaarheid op te sporen met fuzzers en vervolgens een exploit te schrijven. Op de dag dat de aanval bekend werd, bracht Apple al een nieuwe versie van Safari uit, waarin de nodige beveiligingslekken werden gedicht; onduidelijk is of dat ook met het desbetreffende lek is gebeurd.

Ook Internet Explorer 8 werd op de competitie gekraakt, meldt Ars Technica. Onderzoeker Stephen Fewer slaagde erin de browser op een 64bit-installatie van Windows 7 met service pack 1 de Windows-rekenmachine te laten starten en een bestand te laten wegschrijven naar de desktop. Daartoe werden drie aparte beveiligingslekken gebruikt, waarbij code moest worden uitgevoerd door de browser en de Internet Explorer-sandbox moest worden omzeild.

Google Chrome is op de eerste dag van de hackingcompetitie niet gekraakt, terwijl Google een prijs van 20.000 dollar had beloofd aan de deelnemer die dat op de eerste dag van de competitie voor elkaar zou krijgen. De Pwn2Own-competitie, waarin hackers binnen een bepaalde tijd software moeten kraken, wordt dit jaar voor de vijfde keer gehouden tijdens de CanSecWest-beveiligingsconferentie. Onder andere browsers zijn het doelwit, maar bijvoorbeeld ook firmware van mobiele telefoons. Woensdag is onder andere Mozilla Firefox het doelwit.

Moderatie-faq Wijzig weergave

Reacties (157)

Terwijl het omgekeerde waar is omdat Windows het snelst gehackt is
Hetgeen niet per definitie wil zeggen dat Windows onveiliger is.
Kijk even naar het volgende plaatje:

http://en.wikipedia.org/w...ng_system_usage_share.svg

Zou het heel gek zijn als het aantal gevonden exploits naar rato gelijk is aan het aantal gebruikers? niet zo heel gek toch? Het zou zelfs logisch zijn.

Het is niet redelijk om het aantal BEKENDE exploits direct te vergelijken.
Sterker nog: als er op Windows ik noem maar iets: 100 exploits bekend zijn en onder OSX 75 exploits dan zou Windows relatief veiliger zijn: De verhouding exploits is minder scheef dan de verhouding gebruikers.

Uiteraard is het zo dat er in het verleden fundamenteel zaken slecht geregeld waren binnen het Windows OS (met name de op DOS gebaseerde systemen) maar anno 2011 kan je diezelfde claims niet meer maken op basis van technische analyse m.b.t. veiligheid.
Windows 7 is imho een goed product en er is nagedacht over veiligheid.

Ik denk dat in Windows m.b.t. veiligheid meer nieuwe en herziene code aanwezig is dan in OSX daar OSX nog steeds grote stukken BSD/Nexstep bevat die 1:1 over zijn gezet.
En onder het motto `BSD is superveilig´ is de kous af.

Ik zou daar niet zo zeker van zijn. BSD heeft een minimale userbase.
Het kan wel eens zo zijn dat door Apple en de winst aan populariteit VIA apple er `opeens` lekken gevonden worden in dat oh-zo stabiele BSD.
Vergeef me mijn sarcasme, ik BEN in feite BSD fanboy en heb altijd BSD gebruikt toen de rest van de wereld DOS en windows gebruikte.
Maar de bijna mytische `stabiliteit en veiligheid´ die vooral niet-gebruikers van BSD of Unix in het algemeen toekennen doet me soms een beetje lachen.
Unix is oud en dood, en de superieure veiligheid is een (ooit een zeer terechte) claim uit vervlogen tijden die niet tot in den treure in het heden herhaald kan worden. Op die manier nemen zaken bijna religieuze proporties aan. En dat is bij mij altijd reden tot achter de oor krabben.

[Reactie gewijzigd door lenny_z op 10 maart 2011 14:08]

Zou het heel gek zijn als het aantal gevonden exploits naar rato gelijk is aan het aantal gebruikers? niet zo heel gek toch? Het zou zelfs logisch zijn.
Helemaal niet, want dat is nergens op gebaseerd. De praktijk toont al aan dat die vlieger niet opgaat. Kijk maar naar Apache vs IIS.
Google Chrome is op de eerste dag van de hackingcompetitie niet gekraakt, terwijl Google een prijs van 20.000 dollar had beloofd aan de deelnemer die dat op de eerste dag van de competitie voor elkaar zou krijgen.
Das weer goeie reclame voor Google en het Chromium team zo te horen.

[Reactie gewijzigd door Chip. op 10 maart 2011 12:04]

The third browser to be tested was scheduled to be Chrome. However, the contestant registered to attempt the attack did not show up, so the browser remains unbeaten.
Ja, best wel!
Ligt er maar aan hoe je het bekijkt. Op het moment dat zo'n exploit bekend wordt, kan er actie ondernomen worden om het te dichten. Het feit dat er geen exploits gevonden zijn in Chrome, wil absoluut niet zeggen dat er geen inzitten.
Het wil wel zeggen dat de exploits in Chrome niet zo voor de hand liggen als bij andere browsers, er van uit gaande dat er toch echt wel professionele hackers aanwezig zijn bij Pwn2Own dus dat zegt WEL hoe veilig Chrome eigenlijk is.
Google snapt gewoon heel goed hoe deze competitie werkt. De exploits worden van te voren al gemaakt en uitgedacht. Dat bewijst de Safari exploit wel waar weken aan gewerkt is.

Door nog net even een paar dagen voor de competitie een update van Chrome uit te brengen met niet minder dan 24 security fixes (er was dus waarschijnlijk genoeg te misbruiken) heeft Google de deelnemers van Pwn2Own die Chrome dachten te kunnen hacken de wind uit de zeilen genomen.
Chrome stond gewoon helemaal niet op de lijst van browsers bij de pwn2own hackwedstrijd en toen heeft Google zich later toegevoegd door zelf prijzengeld te beloven.
Dat was echter pas in februari en dus veel te kort dag voor de proffesionals om nog op pwn2own te komen met een betrouwbare exploit.

[Reactie gewijzigd door 80466 op 10 maart 2011 13:08]

Op 3 februari maakte Google het bekend om geld uit te loven voor een hack. Dat is dus meer dan een maand geleden en dubbel zo lang als de periode die de hackers nodig hadden voor die Safari hack.

[Reactie gewijzigd door rysh op 10 maart 2011 17:12]

Inderdaad, maar de kans dat er minder bugs inzitten is wel degelijk groter als er niks gevonden wordt, die conclusie kan je WEL trekken...

Er zijn nou eenmaal geen absoluut nummer aan het aantal bugs toe te kennen, als ze als ze ze kunnen tellen kunnen ze namelijk ook gefixed worden ;) Dus eht blijft een soort kansspel...
Dat is een foutieve redenering: je kan de kans van niets niet berekenen (geen bugs gevonden zegt ons namelijk niets, en de kans daarvan kan niet berekend worden).
Het blijft natuurlijk wel zo dat dat er geen exploits gevonden zijn niet wil zeggen dat er geen in zitten.
Maar dit artikel is minder goed nieuws voor de Apple-fanboys.
Kijk Aple reageerd gelijk op een lek en dicht het de volgende dag , dat is gewoon fijn om te horen en juist wel goed nieuws voor de Apple-fanboys.
Bij M$ moet je gewoon nog een maand wachten en hopen dat ze het aan pakken. en dan Nog komen de patches niet .M$ doet niet erg zijn best om lekken te dichten in een groot tempo. Kijk maar naar dat stucknet virus dat gebruikte Day 1 beveiliging lekken gebruikte, na dat het groot internationaal schandaal werd ja toen werden er pas een aantal gepatched.
Het was geen reactie op het lek
The successful hack came in spite of a large security patch, Safari 5.0.4, that Apple released ahead of the competition, patching some 60 security holes in the browser. As well as Safari, Apple also patched iOS to version 4.3. This is because, in a change to historic competition rules, the system configuration was frozen last week, so the last-minute fix hasn't prevented exploitation.
http://arstechnica.com/se...l-chrome-unchallenged.ars
onduidelijk is of dat ook met het desbetreffende lek is gebeurd.
Staat letterlijk in het artikel. :W
Lees...Lees.... Apple heeft een lek gedicht , MAAR ...
Op de dag dat de aanval bekend werd, bracht Apple al een nieuwe versie van Safari uit, waarin de nodige beveiligingslekken werden gedicht; onduidelijk is of dat ook met het desbetreffende lek is gebeurd.
Apple spring hier inderdaad snel op in. Misschien is het niet geheel toevallig omdat dit meteen heel erg openbaar is?

Wie weet hoeveel lekken Apple wel niet kent in hun eigen software die ze nog niet gedicht hebben. Misschien wisten ze ook al lang van dit lek, maar hebben ze het nu even snel gepatched om negatieve publiciteit te voorkomen.

Ik zeg niet dat het zo is, het is slechts een mogelijkheid. Vind het gewoon zo irritant dat het bij Apple fanboys niet uitmaakt wat er gebeurt, ze praten het altijd wel weer goed.

Als Apple in dit geval 2 weken met een patch had gewacht, dan zouden de fanboys zeggen "maar het was waarschijnlijk een heel moeilijk lek om te dichten". Het argument van Apple fanboys is daardoor gewoon standaard niets, maar dan ook niets waard.

En voor mensen mij ervan beschuldigen een MS fanboy te zijn, ik heb thuis een paar Linux systemen draaien dus die vlieger gaat ook niet op ;)
Heb je een bron dat het lek gedicht is?
Mwah, als je het artikel zo leest, was het zeker geen simpel lek, 3 man zijn 2 weken bezig geweest om het lek te vinden. Dat geeft mij niet de impressie dat Safari "zo lek als een mandje is", bijvoorbeeld.
Om het lek te vinden ja, maar nu het lek bekend is kan het een stuk sneller en eenvoudiger gebruikt worden (totdat Apple het lek gedicht heeft natuurlijk).
Feit is dat Safari op Mac OS X als eerste van de uitdagingen gehackt kon worden. Dat doet toch vermoeden dat bijvoorbeeld IE8 en vooral Chrome beter beveiligd zijn dan Safari.
IE8 is helemaal niet veiliger. Dit artikel geeft een beetje een vertekend beeld van de waarheid. IE8 was sneller gehackt dan Safari (qua voorbereiding). Het is alleen dat op de dag zelf de Safari hack sneller was uitgevoerd, maar om dat mogelijk te maken hebben ze meer moeite moeten doen dan de IE hack.

Dit artikel geeft een wat accurater beeld:
http://www.zdnet.com/blog...th-3-vulnerabilities/8367

De resultaten van deze wedstrijd, en de betekenis ervan, rammelt aan alle kanten. Het is op geen enkele manier een goeie representatie van hoe veilig een bepaalde browser is t.o.v andere.

[Reactie gewijzigd door Matazj op 10 maart 2011 13:07]

Misschien wel handig als je je eigen link ook even leest:
Fewer said it took about five to six weeks to find the vulnerabilities and write a reliable exploit
5 tot 6 weken voor 1 persoon of 2 weken voor een team van 3 personen. Klinkt niet alsof het ene veel sneller was dan het andere.

Het blijkt ook nog eens dat de tijd niet zo erg goed bijgehouden word. Dus om zo stellig te vertellen dat IE sneller gehacked was is dan een beetje dom.
Het blijkt ook nog eens dat de tijd niet zo erg goed bijgehouden word
Inderdaad...als ze nu aangeven hoeveel manuur erin zitten.
Misschien werkte de 3 ieder 6 uur per dag hieraan, en die ene 10 uur ofzo?
Misschien wasdie ene hacker wel veel beter (of juist andersom)
Misschien had er iemand gewoon geluk en liep zijn kat over het toetsenbord waardoor net een stukje code werd geselecteerd waar het probleem zat }>

Anyway...het gaat er denk ik niet zozeer om hoe snel het precies gebeurd, als het binnen een acceptable tijd gebeurd is het zwakte in het systeem.
Wordt wellicht anders als een team van 1000 hackers er 3 jaar fulltime mee bezig is om een exploit te vinden...ik weet niet of je dan nog van een probleem mag spreken :+
Hoe kom je erbij dat IE8 sneller was gehacked? Uit je eigen bron:
"Fewer said it took about five to six weeks to find the vulnerabilities and write a reliable exploit."

Vijf tot zes weken is nog altijd langer dan twee weken.
Ja, alleen voor Safari waren ze met zijn 3en bezig, ipv 1.
Ja, dat zou het wel doen denken. Feit is dat de resultaten van deze wedstrijd niet geheel accuraat zijn, aangezien deelnemers de machine mogen houden welke als eerst gehackt is. Aangezien een gratis Mac wel erg gewild is, richten de meeste zich ook als eerste op de Mac.
A successful hack of IE, Safari, or Firefox will net the competitor a $15,000 USD cash prize, the laptop itself, and 20,000 ZDI reward points which immediately qualifies them for Silver standing.
Maar met het prijzengeld dat je krijgt als je Chrome hackt (de $15.000 Ún $20.000 van Google) kan je elke Mac kopen die je wil. ;)
Als je de quote van Matazj' post leest staat daar $15,000 voor "A successful hack of IE, Safari, or Firefox". Chrome staat daar niet bij, dus t zou best wel eens alleeen de 20K van google kunnen zijn. Ook niet slecht overigens :).
@MiniHades

Ja, dat klopt. Chrome was oorspronkelijk geen 'target' in de wedstrijd. Die kwam een heel stuk later zelf erbij nadat Google had bekend gemaakt van de 20k beloning. Als gevolg daarvan hadden de deelnemers veel minder tijd om voor te bereiden met Chrome.

[Reactie gewijzigd door Matazj op 10 maart 2011 14:59]

Zo klinkt het als een erg slimme marketing actie van Google.

Als in de zin van, zeg zo laat mogelijk dat we mee doen om het vrijwel onmogelijk te maken dat ze iets vinden en loof zoveel mogelijk geld uit, zodat het eerste punt wordt vergeten.
een mac pro met alle opties komt uit op: $22,429.85
maar je hebt gelijk, als normale gebruiker kan je inderdaad wel elke standaard mac een paar keer kopen.
spijtig dat deze vulnerabilities niet door 'gewone gebruikers' ontdekt worden, net zomin dat ze "op de eerste dag van de competitie" de vulnerability vinden en er een exploit voor schrijven, maar zoals aangegeven er al WEKEN mee bezig zijn geweest
Als ik deelnemer was, zou die gratis computer echt het laatste zijn waarvoor ik het doe, een gratis Mac is echt peanuts vergeleken met de overige prijzen en bovendien de eer en bekendheid die je krijgt door een lek te exploiteren.
Ik zou me dus richten op het systeem waarbij ik denk dat mijn kansen het grootst zijn, ten opzichte van het systeem maar ook ten opzichte van de concurrentie.
@JivZ
Als je het volledige artikel leest kom je te weten dat Apple het lek op dezelfde dag nog gedicht heeft.


OT:
Ik ben meer benieuwd naar de resultaten over Firefox, de browser die ik zelf gebruik.
Dat lijkt me sterk. Apple heeft dezelfde dag een update van de browser uitgebracht, maar ik weet/denk niet dat ze toen al op de hoogte waren van deze bug. Anders hadden ze die al verholpen voor de wedstrijd begon, naar ik aanneem...
Hoeft niet. Het kan ook zijn dat de hackers het netjes hebben gespeeld door de fout aan te geven onder voorwaarde dat Apple deze patch pas na de demonstratie de hack weggeeft. In dat geval hebben de hackers de eer die hen toekomt, terwijl Applegebruikers geen last zullen hebben van het lek.
"Hoeft niet. Het kan ook zijn dat de hackers het netjes hebben gespeeld door de fout aan te geven onder voorwaarde dat Apple deze patch pas na de demonstratie de hack weggeeft"Mijn gedachte idem.
Zoals de UT Twente (volgens mij dubbelop) eerst Translink 6 maanden de tijd geboden heeft om het lek van de OV Chipkaart te dichten.
Toen dat niet gebeurde, hebben ze - zoals afsgesproken - dit openbaar gemaakt om Translink alsnog een incentive te geven.
(en dat heeft nogal geholpen...)

Het is nl wel toevallig dat op de dag van bekendmaking - en waarin duidelijk gezegd werd, we vertellen niet hoe we dit gehack hebben - er een Safari update uitgebracht is.
@FreqA:
Als je het artikel goed leest dan kom je te weten dat Apple een fix heeft uitgebracht voor Safari
Op de dag dat de aanval bekend werd, bracht Apple al een nieuwe versie van Safari uit, waarin de nodige beveiligingslekken werden gedicht; onduidelijk is of dat ook met het desbetreffende lek is gebeurd.
@FreqAmsterdam: Als je het volledige artikel leest, kom je te weten dat er een ander lek dezelfde dag gedicht is. Ik quote: "onduidelijk is of dat ook met het desbetreffende lek is gebeurd.", dus het is helemaal niet zeker of dit lek al gedicht is.
het is niet per se een ander lek, je quote zelf dat het onduidelijk is of het om deze lek gaat, of een andere. ;)
eit is dat Safari op Mac OS X als eerste van de uitdagingen gehackt kon worden.
Dit is inderdaad een feit, maar totaal irrelevant want er is 2 weken onderzoek aan vooraf gegaan.

Wat wel belangrijk is: Er zijn lekken gekend in Safari op OSX en IE op W7: Wat zullen hackers eerst proberen te misbruiken, rekening houdend met het marktaandeel? Face it: qua beveiliging zitten MS en Apple ong. op het zelfde niveau heden ten dage (Ik heb het gevoel dat Linux daar toch wat beter in is). Maar het verschil in marktaandeel maakt W7 een stuk onveiliger dan OSX.
Niet onveiliger, maar meer belaagd. Op een technische site als deze een belangrijke nuance 8-)
Mac OS X gebruikers denken wel dat ze veilig zitten zodat ze geen virusscanner of iets hebben. (Dit heb ik zelf op Mac ook niet gehad). Maar als er via deze bug een keylogger of spyware of iets kan geinstalleerd worden (wat bij Mac vrij eenvoudig is :) ), weet de gebruiker het niet, terwijl een geupdate virusscanner dit zou detecteren op Windows.
Gister is Safari 5.0.4 uitgekomen, geen idee of hier al een fix in zit, maar zou wel snel zijn :)
tja, de meeste lekken in browsers kost tijd om te vinden.... Alleen nu beginnen de hackers ook langzamerhand steeds meer aandacht te schenken aan MacOSX waardoor steeds meer lekken gevonden/misbruikt worden...
Het lek is nu boven... Dat lek kan zo misbruikt worden.

Ter vergelijking (off-topic):
Het heeft 13 jaar geduurd voordat de Mifare Classic chip gekraakt is (1994-2007), nu koopt iedereen voor een paar Euro een hack-tool...

[Reactie gewijzigd door airell op 10 maart 2011 12:27]

Dat was nooit omdat het zo moeilijk was maar meer omdat niemand een nfc-reader had, terwijl die tegenwoordig voor €30 over de toonbank gaan. Het was gewoon een slechte kaart om mee te beginnen (voor dat doel).

[Reactie gewijzigd door analog_ op 11 maart 2011 00:55]

Mwah, als je het artikel zo leest, was het zeker geen simpel lek, 3 man zijn 2 weken bezig geweest om het lek te vinden. Dat geeft mij niet de impressie dat Safari "zo lek als een mandje is", bijvoorbeeld.
Wie het artikel 'Security Paradox' uit de laatste CT heeft gelezen, zal het niet verbazen dat Safari als eerste moest buigen.

Dit artikel in CT beschrijft en onderbouwt uitvoerig dat het nogal droevig gesteld is met de beveiliging van OSX en dat het onder meer Safari is dat op x64 OSX bepaalde bekende zwaktes heeft.

Ik vond het in elk geval aardig leesvoer...
Gelukkig is het op Windows 7 X64 SP1 met IE8 ook gelukt. AppleFanboy's eer is dus niet helemaal aangetast.
Echter heeft Apple de reputatie zo veilig te zijn , en windows niet.
En is het ook gewoon veiliger.
Misschien moeten jullie de nieuwste C'T magazine er maar eens op na lezen en helas concluderen dat Apple nog steeds geen goede ASLR en DAP protectie heeft in haar OS...
Ik meen dat dat in Lion eindelijk is aangepakt, want dat had idd al veel eerder moeten gebeuren. Overigens zijn er op Windows 7 ook al gevallen van ASLR en DEP omzeiling bekend (sterker nog, dat was volgens mij bij de vorige editie van Pwn2Own), dus het is blijkbaar een vrij lastige materie om goed (sluitend) ge´mplementeerd te krijgen.

[Reactie gewijzigd door Rick2910 op 10 maart 2011 15:58]

VeiligER dan Windows en dat is nog steeds zo.
Waarom die haat? Ook Apple fanboys weten dat niet 1 OS of browser 100% veilig is.
En Chrome draait toch ook op OSX, Safari draait toch ook op windows?
Maar de hack gebeurde op een Safari x64 Mac OS X versie. En niet op een Windows versie.
Maar de hack gebeurde op een Safari x64 Mac OS X versie. En niet op een Windows versie.
Dat sluit echter niet uit dat het niet ook op Windows kan. De methodiek zal iets veranderen omdat er Mac OS X specifieke dingen omzeilt zijn.
In an interview with ZDNet, Bekrar said the vulnerability exists in WebKit, the open-source browser rendering engine.
Zowel Safari als Chome maken gebruik van WebKit. De hack zou dus ook kunnen werken in Chrome.
Die ik ken helaas niet. Die zeggen 'op Apple zitten tenminste geen virussen'.

Er was er zelfs eentje die voor zijn werk (vanuit huis) CadCam doet op een Windows PC, maar daarop niet wou internetten omdat hij bang is voor virussen. Daarom had hij speciaal een Mac gekocht om te surfen en te mailen, want dan hoefde hij geen virusscanner te installeren. 8)7 |:(
Ik ken ook maar heel weinig macgebruikers die een virusscanner hebben. Eigenlijk ken ik er zelfs geen 1. Ik heb een keer even snel gekeken en vond 1 virusscanner voor OSX een aantal jaar terug. Maar het wordt idd tijd om dat te gaan veranderen.
Kaspersky, Norton, Sophos maar ook Avast, Iantivirus en ClamXav zijn gewoon voor OS X beschikbaar.

Er zijn er vast meer, dit is wat ik zo ken.
vergeet ESET en Virus Barrier niet.
Deze scannen alleen voor Windows virussen, zodat je die niet overdraagt. Ik had er eentje ge´nstalleerd, die nam ten allen tijden minstens 80% CPU in beslag, waardoor ik nog nauwelijks met de computer kon werken.
Kijk :) Beste Wolfos durft tenminste al te erkennen dat ook een Mac een computer is :+

(ik heb geen telefoon maar een iPhone, geen laptop maar een Macbook, geen tablet maar een iPad, geen pc maar een... je kent ze wel)
Een virusscanner is al een tijdje geimplementeerd in Mac OSX, maar deze loopt als een achtergrondproces.

Kaspersky is een voorbeeld voor Mac OS. Ook heeft McAfee een viruscscanner voor Mac OS en ook de oudere generaties (PowerPC)

http://www.mcafee.com/uk/products/virusscan-for-mac.aspx
http://www.kaspersky.com/kaspersky-anti-virus-for-mac
Wat jij bedoeld is niet specifiek een virusscanner. De ingebouwde beveiliging beveiligd enkel maar tegen 3 specifieke Mac Trojans. Een aparte virusscanner (zoals bv. Sophos, etc) is aan te raden, zeker in de toekomst!
OS X heeft ingbouwde een trojanscanner aan boord, XProtect. In feite net zoals Microsoft's Security Essentials, maar dan volledig op de achtergrond.
"Microsoft's Security Essentials", is niet ingebouwd. Zouden ze dit doen dan zou de Europese commisie hier weer een punt van maken.
Er zitten ook geen virussen op de Mac. Trojans, keyloggers en andere exploits wel.
idd; ik smijt mijn macbook air meteen het raam uit ;(
Ik vind het al jaren niet meer opmerkelijk dat browsers stuk voor stuk, 1 voor 1 (maar vooral elkaar afwisselend) door de mand vallen als het om nieuwe veiligheidslekken gaat. De ontwikkelingen gaan zo snel, de ene maand is het Safari die huilie mag doen, de andere maand IE. Het is een soort rat race die ik niet zo boeiend vind.
Ik heb persoonlijk (gewoon huis tuin en keuken computer gebruik) in 15 jaar tijd nog nooit last gehad van dit soort lekken, ook niet onder windows (ofwel IE)
Wat ik wel aardig nieuws vind, is dat Chrome deze test dus wel doorstaan lijkt te hebben. Dat is toch een felicitatie waard. _/-\o_

[Reactie gewijzigd door autoreverse op 10 maart 2011 12:22]

vang ik hem wel op, krijg je een acer van me terug. ;(
En voor de tweakers (lees: Windows Fanboys) want als je het hele artikel had gelezen ipv te stoppen na het woord Apple had je het volgende gelezen:
Ook Internet Explorer 8 werd op de competitie gekraakt, meldt Ars Technica. Onderzoeker Stephen Fewer slaagde erin de browser op een 64bit-installatie van Windows 7 met service pack 1 de Windows-rekenmachine te laten starten en een bestand te laten wegschrijven naar de desktop. Daartoe werden drie aparte beveiligingslekken gebruikt, waarbij code moest worden uitgevoerd door de browser en de Internet Explorer-sandbox moest worden omzeild.
En ja hoor daar is de eerste "fanboy" hater alweer...

Kolere grow up dude....
Zullen we voortaan alle lekken die in Windows gevonden worden ook zo gaan becommentarieren, of gaan we het Úcht ergens over hebben?
Goede acties dit. Als er door professionals zo lang zo hard aan wordt gewerkt aan dit soort exploits komt de beveiliging van onze software steeds verder op niveau.
Klopt, dit is dan ook een zeer aparte (bedrijfs)tak. De mensen in deze bedrijven werken 4 dagen in de week en 1 dag is studeren om alle ontwikkelingen bij te houden. Dit zijn ook de mensen die hardware modificeren om maar toegang te krijgen en te meten. Echte techneuten die geld verdienen met het op verzoek kraken van websites, devices, software enz. enz.
Zeer mooie bedrijfstak waar je diepgaande kennis van zaken moet hebben..
Mijn inziens, en de quote "het maken van een betrouwbare, werkende exploit bemoeilijkt doordat er weinig documentatie beschikbaar is over het misbruiken van lekken in de 64bit-versie van Mac OS X" bevestigd dat, komt het voornamelijk doordat er weinig exploits voor OS X worden gemaakt. Er is dus weinig bekend hoe bepaalde beveiligingsfeatures van OS X omzeild kunnen worden. Voor Windows is daar al veel meer over bekend omdat er gewoon veel meer mensen mee bezig zijn en er dus ook veel meer documentatie en code voor gemaakt is. De anti-MS fans zullen zeggen dat het komt omdat OS X veiliger is en Windows veel makkelijker te hacken is maar security experts zoals Charlie Miller hebben al meer malen gezegd dat de beveiliging van Windows (en ook Linux) tegenwoordig beter is dan OS X.
Geen gekke beloning voor 2 weken werk, al dacht ik dat de uitdaging was binnen een kortere periode de boel te kraken. En mooie reclame voor Google. Ik vraag me af of het lek al in de laatst uitgebrachte update gedicht is.

In het artikel word trouwens gesproken over fuzzers, wat zijn dit precies?
http://en.wikipedia.org/wiki/Fuzz_testing:
Fuzz testing or fuzzing is a software testing technique, often automated or semi-automated, that involves providing invalid, unexpected, or random data to the inputs of a computer program. The program is then monitored for exceptions such as crashes or failing built-in code assertions. Fuzzing is commonly used to test for security problems in software or computer systems.
Weer beetje sensatie artikel op tweakers.net

Volgens de bron was IE8 sneller gehacked dan Safari, en toch verschijnt Safari in de titel, met logo.

Maak dan iets als 'Google Chrome als een van de weinige overeind gebleven'. Want zoals het er nu staat is het niet echt neutraal, wat een nieuwssite toch tracht te zijn??
er staat ook niet dat safari sneller gehackt was, maar safari is gewoon eerder gehack

8 uur begin safari te hacken 9 uur is het gehackt duurde dus 1 uur
10 uur begin IE te hacken 10:30 IE succesvol gehackt

in dit voorbeeld is safari als eerste gehackt (zoals de titel luid) maar niets het snelst dus de titel klopt wel
Safari op Mac OS X eerste slachtoffer Pwn2Own 2011
ben jij misschien een klein beetje apple-fanboy :+
Helemaal mee eens dat de titel wat sensationeel/Telegraaf's is aangedikt en dat de titel iets als <<Google Chrome als een van de weinige overeind gebleven>> had moeten zijn...
Ik vind het persoonlijk belangrijker hoe snel de OS maker reageert op security lekken. Als dezelfde dag dat de lek bekend werd er nog een patch verschijnt, dan vind ik dat een snelle response.
Ik vind het persoonlijk belangrijker hoe snel de OS maker reageert op security lekken. Als dezelfde dag dat de lek bekend werd er nog een patch verschijnt, dan vind ik dat een snelle response.
Het is echter niet zeker of dat toeval is, of dat dat met elkaar te maken heeft. Ik zal vanavond eens proberen uit te vogelen of het lek in kwestie onder 5.0.4. ook nog werkt.
Eigenlijk vraag ik me af wat het nut is van dit soort acties.
Op dergelijke hoeveelheden code komen ongetwijfeld foutjes en zwakheden voor.

Dat moet eigenlijk niet verbazen.

Wat mij persoonlijk veel meer interesseert is, of die snel en goed worden verholpen als ze ontdekt worden.

Een goed product maken is niet alles, een goed product al even goed ondersteunen wŔl.

[Reactie gewijzigd door Gadgetfreak op 10 maart 2011 12:12]

"Eigenlijk vraag ik me af wat het nut is van dit soort acties. "

De wat ? Heb je de tekst gelezen ? Het nut is JUIST om hackers je browser te laten hacken, zei geven dan namelijk precies aan hoe ze het hebben gedaan en helpen hiermee juist de ontwikkeling en maken de browser veiliger.
En tuurlijk komen er foutjes in code voor, het is immers gemaakt door de mens en die maken fouten.

"Wat mij persoonlijk veel meer interesseert is, of die snel en goed worden verholpen als ze ontdekt worden. "

Dat is het hele doel van Pwn2Own...
Leuk, maar als je dan constateert dat het verhelpen van sommige lekken, vulnerabilities e.d. tijden duurt, dan kunnen de dames en heren hackers wel als doel hebben een veiliger internet te realiseren, maar dat doel wordt dan niet bereikt.

Ik heb dus ook willen aangeven, dat ik veel meer in de snelheid en kwaliteit van de fixes ge´nteresseerd ben...
er is niet voor niets een beroep genaamd (technisch resercheur) die gasten krijgen les om later als beroep beveiligings systemen te hacken zodat ze de beveiliging kunnen verbeteren.
Het nut is dat de fouten opgespoord worden en kunnen gedicht worden voor ze misbruikt worden, ik zie het meer als extended testing van...
ben ik helemaal mee eens. Een stress-test of een dagje hackers op je browser loslaten levert altijd wel iets op. Het nut is denk ik dat de makers van de software gewezen kunnen worden op mogelijke lekken en zo de kans krijgen deze alsnog te dichten (....totdat de volgende hack-techniek voor de deur staat.....)
Het nut is dat er grote groepen mensen uitgedaagd worden om beveiligingsproblemen met de verschillende browsers op te sporen en te melden zodat deze vervolgens door de Browser-bouwers verholpen kunnen worden.

Creeer een uitdaging voor hackers die je verder helpt in plaats van het gat misbruikt voor criminaliteit.

Gaten zijn er inderdaad altijd. Het gaat erom ze te vinden en te verhelpen voordat een crimineel dat doet en er misbruik van maakt.

En daarnaast hoeft er natuurlijk ook niet altijd Nut te zijn. En hoeft het nut niet altijd duidelijk te zijn voor iedereen om nuttig te zijn.
Natuurlijk snap ik ook dat het doel is om vulnerabilities te zoeken en te gebruiken.

Alleen droog vaststellen dat er vulnerabilities zijn voegt niets toe.
De maker van de software zal voor patches en dergelijke moeten zorgen.

Dat is wat ik met mijn vorige bericht aan de orde heb willen stellen.

Al heb je een programma waarin enkele fouten worden aangetroffen, dan is dat nog niet zo erg als je als software-leverancier die fouten of zwakheden snel en goed repareert.

Overigens: ik hoop dat de desbetreffende hackers ook plezier beleven. Dat kan ook nuttig zijn.

EDIT: typo

[Reactie gewijzigd door Gadgetfreak op 10 maart 2011 13:58]

Als ik een auto koop verwacht ik ook geen mankementen die later met service packs hopelijk opgelost worden. Waarom dit voor software wel normaal gevonden wordt is mij een raadsel.
Welkom in 2011, waar terugroepacties van auto's aan de orde van de dag zijn.
80% van de ontwikkelkosten van een auto zijn die van electronica en software. Er zit dus heel veel software in auto's, die is zeker niet bugvrij. Maar de kwaliteitsstandaarden liggen daar vrij dicht bij die van de defensie en die van de telecomindustrie (het netwerk niet de mobieltjes). Het aantal interfaces van de autosoftware naar buiten toe is vrij beperkt en vooral geen internet. De meest voorkomende bugs: veiligheidslekken, hebben dus een lage relevantie en hoeven niet gedicht te worden.
Software kun je (bijna) niet 100% waterdicht schrijven. Het wordt vooralsnog gemaakt en uitgedacht door mensen en die maken denkfouten. En fyieke producten zijn er ook nooit vrij van.

Perfect bestaat niet in deze wereld.
Auto's worden dus gemaakt door aliens? ;-)
Dat denk ik ook ieder morgen en toch moet ik onderkennen dat ook ik niet perfect ben en geveld ben door een griepje :( Wonderen zijn de wereld nog niet uit....
"Google Chrome is op de eerste dag van de hackingcompetitie niet gekraakt"
Gelukkig maar, dit zegt toch zeker wel wat over de veiligheid van de browser, hoop dat dit ook zo blijft aangezien ik Chrome als vaste browser gebruik en het een erg fijn programma vind.
Misschien omdat Google Chrome net ervoor een update had gegeven, zodat de hackers niet echt op voorhand iets hebben kunnen testen.
[...]


Gelukkig maar, dit zegt toch zeker wel wat over de veiligheid van de browser, hoop dat dit ook zo blijft aangezien ik Chrome als vaste browser gebruik en het een erg fijn programma vind.
Goed nieuws voor gebruikers van Dillo, Links2 en Firefox: die zijn, om verschillende redenen, ook niet gekraakt op de eerste dag.
Ja, dit is wel heel makkelijk, Firefox was geen doelwit, vind je het gek dat ie niet gekraakt is op de eerste dag. Als dat goed nieuws is, is het ook goed nieuws dat ik vandaag om verschillende redenen niet neergeschoten ben door het libische leger. |:(

Echter, dat van Chrome is inderdaad netjes, Google zal er vast wel eens aan moeten geloven, maar het wordt de hackers duidelijk niet makkelijk gemaakt.
is het ook goed nieuws dat ik vandaag om verschillende redenen niet neergeschoten ben door het libische leger
Ik heb ze er wel voor betaald dus je komt er blijkbaar goed vanaf ;)
Ik zou hieruit niet afleiden dat Chrome inherent veilig is:
The third browser to be tested was scheduled to be Chrome. However, the contestant registered to attempt the attack did not show up, so the browser remains unbeaten.
Helemaal mee eens
Minder fijn voor mij, ik gebruik Safari op een Mac...
Ik denk dat je het verkeerd bekijkt: jij (en Apple) hadden eerst dit lek niet in het vizier, nu wel. Zolang het lek niet breder bekend is kan het worden misbruikt. Nu kan het worden gefixt.
1 dag of 2 weken kunnen werken aan een hack is nogal een verschil. De kans is klein dat Safari in 1 dag gehacked zou zijn (anders zouden ze dat ook vast wel trots claimen)
Nee hij zegt minder fijn, dus je hebt fijn, minder fijn, matig enz enz... en dan ergens het doomscenario wat jij schetst...

Je bent wel erg op je teentjes getrapt voor een opmerking waar totaal geen ernst in zit...
Google Chrome is op de eerste dag van de hackingcompetitie niet gekraakt
Als ik het artikel lees was er voor Safari ook een paar weken nodig. :?
De Pwn2Own-competitie, waarin hackers binnen een bepaalde tijd software moeten kraken
Hoelang krijgen deelnemers de tijd eigenlijk?
Ik denk dat de deelnemers alle tijd krijgen die ze willen, als het maar werkt tijdens de conventie. Dus je kunt er vijf maanden of drie jaar aan besteden. Mocht Apple of Google in de tussentijd het lek gedicht hebben, en werkt de hack niet op de laatste gepatchte versie, dan is al jouw moeite voor niks.
Wel sportief van Apple om dan pas gisteren een update van Safari (5.0.4) uit te brengen :)

Zo hebben de security researchers nog wat voordeel van hun noeste onderzoekswerk.

Overigens wel vreemd dat Pwn2Own een oude versie van Safari gebruikte op hun evenenement; dat doet toch wel weer af aan het tekstfragment
"De exploit werkte met Safari 5.0.3 en een volledig gepatchte 64bit-Mac OS X 10.6.6-installatie"
uit het tweakers artikel :)

[Reactie gewijzigd door boksbeugel op 10 maart 2011 13:19]

Overigens wel vreemd dat Pwn2Own een oude versie van Safari gebruikte op hun evenenement; dat doet toch wel weer af aan het tekstfragment
Niet helemaal. aangezien er op het moment dat ze de hack demonstreerden nog geen update van Safari was. Ik kreeg pas een uur daarna een melding van m'n Mac OS X Server dat die update klaar stond.
Het zou me persoonlijk niks verwonderen als apple op de hoogte gesteld is van dit lek en de update uitgesteld heeft tot na de conventie. De hackers hun fame en vlak erna weg lek

De timing van die patch is mij iets te toevallig

[Reactie gewijzigd door hackerhater op 11 maart 2011 10:05]

De snelste wint.
Ik vind niets mis met de titel. Dat IE (welke versie dan ook) gehacked wordt op Windows is nouwelijks noemenswaardig. Juist Apple bezitters zijn in de heilige veronderstelling dat OSX onkraakbaar is.

Hackers doen er ook minder onderzoek naar omdat er (buiten dergelijke wedstrijden) minder commercieel gewin bij is. Maar nu het marktaandeel OSX langzaam maar zeker stijgt wordt het wel steeds interessanter. Daarom is het ontkrachten van de mythe noemenswaardiger dan het bevestigen van de standaardkennis. (zeker bij tweakers)

Vind de genoemde twee weken voorbereiding niet eens erg veel tijd voor een dergelijke crack. Apple had net als Google vlak voor de confentie een update dienen door te voeren. Op die manier dicht Google mogelijke exploits waar aan gewerkt wordt.

Qua veiligheid gaat het vaak niet eens om de hoeveelheid bugs in de software maar mede om hoe snel deze gedicht zijn na ontdekking. Dat Chrome al op versie 10 zit geeft daar een goede indicatie van. Nieuwe features zijn wat mij betreft minder interessant dan de veiligheid.
Juist Apple bezitters zijn in de heilige veronderstelling dat OSX onkraakbaar is.
Ik ken maar weinig Apple bezitters die in de veronderstelling leven dat OSX onkraakbaar is... Vele Apple bezitters weten wel waarom er updates verschijnen hoor. Ik werk nu weliswaar op een pc maar ik vind het echt belachelijk hoe sommige techneuten telkenmale Apple bezitters proberen af te schilderen als blinde en domme gebruikers.

Ik vind persoonlijk de mensen die in stereotiepen telkenmale denken eigenlijk dom. En dat is het probleem die veel concurrenten van Apple ook hebben en waarom ze zoveel moeite hebben om antwoorden erop te verzinnen.

Minder vatbaar voor problemen dat wel. En is dat nu door het gebrek aan marktaandeel, dat veranderd niets aan het feit dat je nu op dat platform minder kopzorgen hebt. Als ik de lotto zou mogen winnen dan doe ik heel mijn familie een mac cadeau al was het maar om van het gezeur af te zijn.
Ik vind niets mis met de titel.
Er is juist wel iets mis met de titel omdat het doet uitschijnen dat Safari op zich zo lek is als een zeef doordat het "eerste" slachtoffer is. Maar het is natuurlijk tweakers en als er geflamed kan worden op Sony, Apple... dan gaan ze het zeker niet laten.

De kritiek die ik vaak hoor op die wedstrijd is dat de snelheid eigenlijk weinig te maken heeft met de onveiligheid van de systemen maar de wil om een bepaalde machine te bemachtigen. Ik heb ook veel liever een dure macbook air dan een dell om eerlijk te zijn. En dat is een menselijke factor, geen veiligheidsfactor.

[Reactie gewijzigd door simplicidad op 10 maart 2011 14:01]

Nee, het is een feit dat een veelgehoorde kreet van Apple 'fanboys' en volgelingen is dat OSX "nooit crasht", geen "virussen" heeft en "altijd werkt".
Natuurlijk zijn er ook genoeg Apple gebruikers die hier een stuk realistischer in zijn, maar dat zijn door de bank genomen ook niet de schreeuwlelijken die koste wat kost Apple moeten aanprijzen, verheerlijken en met name Microsoft belachelijk proberen te maken. Dan zijn het de 'gewone' gebruikers; zij vangen de minste wind en vallen dus niet op.
Juist Apple bezitters zijn in de heilige veronderstelling dat OSX onkraakbaar is.
Hoewel zeer ongenuanceerd zit er zeker een kern van waarheid in, met name omdat de meest zichtbare Apple bezitters om het hardst schreeuwen hoe heilig OSX is.

Je kunt een mooie parallel trekken met het Westen vs. de Moslimgemeenschap. Veel mensen ergeren zich kapot aan 'de moslims' omdat ze het meeste horen en zien over die groep moslims die bijvoorbeeld extremistisch zijn of die straatcrimineeltjes. Zij schreeuwen het hardst en vormen zo een beeld van de hele gemeenschap.

En een bericht als deze is een directe confrontatie met de uitspraken die Apple fanboys doen; OSX en haar programma's zijn ˇˇk kwetsbaar voor exploits. En of dat nu virussen zijn (die vrijwel alleen op Windows voorkomen) of andere gevaarlijke hacks, dat doet er niet toe.
versie-nummers zeggen ook niet erg veel natuurlijk. Je kan bij wijze van spreken je versie-major elke keer updaten en zo na een jaar al op versie 1337 staan...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True