Pwn2Own: Linux bleibt ungeknackt!

[gmw]

Beim diesjährigen pwn2own Contest blieb Linux ungeknackt! Obwohl einige Sicherheitslücken entdeckt wurden befanden die Teilnehmer, dass der Aufwand sie auszunutzen im Rahmen der Veranstaltung unverhältnismäßig hoch wäre.

Erstmal weiterführende Links:
http://cansecwest.com/ --> Security Conference auf der jährliche pwn 2 own stattfindet
http://www.engadget.com/2008/03/29/linux-becomes-only-os-to-escape-pwn-2-own-unscathed/ --> Englische Berichterstattung

Hier nun eine kurze Zusammenfassung von mir selbst:

Beim pwn 2 own contest ging es darum, wer als schnellstes ein spezfisches System unter seine Kontrolle bringen konnte. Dabei konnten die Teilnehmer selbst aussuchen ob sie gegen ein MacBookAir, Windows Vista oder Ubuntu 7.10 antreteten wollten.

Am Ersten Tag waren die Teilnehmer lediglich im selben Netzwerk wie die Ziele, Zugriff war also höchstens remote möglich. Alle Ziele waren auf dem aktuellsten Patchlevel und nur keine zusätzlichen Programme waren nach der Installation aufgespielt worden.

Keines der Systeme konnte am ersten Tag übernommen werden.

Ab Tag 2 konnten die Angreifer dann einfache Befehle an Benutzer an den Zielrechnern schicken, wie zB einen Link zu öffnen. Die Anweisungen mussten so einfach gestaltet sein, dass jeder DAU sie ausführen könnte. Die Installation zusätzlicher Programme war nach wie vor verboten. Ab diesem Moment wurde das MacBookAir innerhalb von 2 Minuten unter die vollständige Kontrolle des Angreifers gebracht, offenbar genügte es den Benutzer aufzufordern eine vorbereitete Seite zu öffnen. Die genaue Lücke ist nicht bekannt, es steht jedoch außer Zweifel dass der Fehler an Safari liegen muss (ob dieser dadurch auch auf zB Windows verwertbar ist, ist unbekannt).

Einige Stunden Später musste sich dann auch Vista beugen. Dort wurde offenbar ein Fehler in Java ausgenutzt um die Windows Security auszuschalten.

Ubuntu 7.10 konnte nicht übernommen werden. Zwar wurden einige Sicherheitslücken gefunden die potentiell zu diesem Ziel geführt hätten, jedoch im Rahmen der Veranstaltung offenbar nicht durchführbar waren, da es zu aufwändig gewesen wäre, den benötigten Code zu schreiben.

Alles in allem ne geile Sache, das gönn ich den Mac Fanbois die sonst immer die Windows-Benutzer auslachen und verhöhnen. Eat that!

 

[Banur]

Hab ich vorhin auch gelesen, dürfte für Mac 'ne schöne Blamage sein.
Hierzu hab ich auch noch diesen Artikel gefunden: Informatiker entzaubern Apple - Microsoft flickt fixer.

 

[sw33tlull4by]

Gabs schon vor ein paar Tagen auf gulli.com
link
mfg

sw33t

//edit
Beruhigend zu erfahren das Linux so sicher ist, und das bei Ubuntu.
Wenn ich mir vorstelle das es da noch andere Distros gibt welche weit aus mehr
paranoider sind(Open BSD, etc).
wenn man mal davon absieht da 99%aller Fehler vor dem Monitor sitzen, komme ich mir mit Fedora vor wie in Fort Knox *G*

 

[bitmuncher]

Original von sw33tlull4by
Wenn ich mir vorstelle das es da noch andere Distros gibt welche weit aus mehr
paranoider sind(Open BSD, etc).

OpenBSD ist keine Linux-Distro, sondern wie der Name schon sagt ein BSD.

 

[Lesco]

Original auf http://www.spiegel.de/netzwelt/web/0,1518,543920,00.html
Microsoft schafft es im Beobachtungszeitraum regelmäßig, mehr als 20 Prozent der veröffentlichten Sicherheitslücken noch am Tag des Bekanntwerdens mit einem Flicken zu stopfen

Welch gelungene Übersetzung!
Muss man denn, gerade im IT-Bereich, wirklich _jedes_ englische Wort zu übersetzen versuchen?

 

[sw33tlull4by]

@Bitmuncher
Danke fuer die Verbesserung.
BSD stammt von UNIX ab genau wie Linux, ist also so gesehen der Bruder.
Bringe das jedesmal durcheinander.
mfg

sw33t

 

[BigDevil]

Original von sw33tlull4by
@Bitmuncher
Danke fuer die Verbesserung.
BSD stammt von UNIX ab genau wie Linux, ist also so gesehen der Bruder.
Bringe das jedesmal durcheinander.
mfg

sw33t

Soweit ich weiß hat MacOS auch was mit Unix zu tun. Also ist das auch ein Bruder.

 

[beavisbee]

Original von sw33tlull4by
BSD stammt von UNIX ab genau wie Linux, ist also so gesehen der Bruder.

Nein, da liegst du schon zum zweiten mal falsch...

Linux ist kein UNIX-Derivat, sondern nur ein UNIX-ähnliches System.
Genau genommen ist Linux nur der Betriebssystem-Kern, um welchen ein Grundsystem von Programmen aus dem GNU-Projekt gebaut ist (GNU ist übrigens ein Acronym und steht für "GNU IS NOT UNIX") und je nach Distri jede Menge andere OpenSource-Software.


zum Thema BSD-History hab ich das hier auf die Schnelle gefunden: https://www.bsdwiki.de/Geschichte
und zum Thema GNU/Linux kann ich dir das Buch "Die Software-Rebellen" von Glyn Moody empfehlen.
Dort geht's los mit Richard Stalman's GNU-Projekt, Linus Torwalds "Auseinandersetzungen" mit Andrew Tanenbaum bezüglich Minix, über die Entwicklung von Linux, dem OpenSource-Phänom, Browser-Kriege, etc.

 

[weau]

Oh hä , die armen Mac Fanatiker :]

 

[CDW]

MacOS Abstammung (laut wiki)
\ BSD \ FreeBSD \ Darwin
Man erkennt doch sofort, dass FreeBSD auch nicht viel taugten sollte und andere BSDs wohl ebenso.

Ubuntu stammt von Debian ab, d.h dass nicht nicht nur xubuntu,kubuntu, edubuntu sicher sind, sondern wahrscheinlich auch Xandros,Knoppix,Linspire, Morphix und DSL.
Hauptsache Linux - die Unterschiede sind eher gering (hauptsächlich der Fenstermanager: KDE,Gnome, IceWM etc und der Packetmanager). Obwohl man doch vielleicht bei anderen (nicht debian basierenden) Distris erstmal schauen müsste. Oder darf man das gar nicht so verallgemeinern? (und was würde der Test in diesem Fall (zumindest was Linux angeht) aussagen? )

PS:
Und Ubuntu ist sowieso sowohl vom Aufbau her wie von der Philosophie fast wie OpenBSD - nur dass die 3D Beschleunigung der Grafikkarte sowie die WLAN Karten viel besser unterstützt werden

PPS:

"The flaw is in something else, but the inherent nature of Java allowed us to get around the protections that Microsoft had in place," he said in an interview shortly after he claimed his prize Friday. "This could affect Linux or Mac OS X."

 

[bitmuncher]

Original von CDW
PS:
Und Ubuntu ist sowieso sowohl vom Aufbau her wie von der Philosophie fast wie OpenBSD - nur dass die 3D Beschleunigung der Grafikkarte sowie die WLAN Karten viel besser unterstützt werden

Stimmt so nicht ganz. Im Gegensatz zu OpenBSD findet man nämlich auch Nicht-OSS in den Repositories. Genau deswegen wird ja diverse Hardware besser unterstützt.

Im übrigen gönne ich es den ganzen "Mac-ist-ja-so-toll"-Fanatikern.

 

[b4ck]

intressant wäre zu wissen wieviele leute an den einzelnen stücken gearbeitet haben.

ich glaube das jede wusste das systeme die mehr und mehr an marktanteil gewinnen mehr und mehr gefährdet sind.
ich fühlte mich damals auf meinen xp sicher (und hatte nie probleme) fühle mich jetzt auf meinem mac os x sicher und werde mich weiter sicher fühle (bis mal was passiert^^) weil ich denke das die größten fehler IMMER vorm bildschirm gemacht werden, und jemand der wild email anhäge öffnet oder links zu nicht vertrauenswürdigen seiten folgt dem kann sowieso nicht geholfen werden...

 

[CDW]

@bitmuncher: das war schon provokativ/ironisch gemeint (gerade was die ganzen propiäteren WLAN /Grafikkartentreiber angeht oder auch Rückschlüsse auf einzelne Distris) .
Windows/Mac sind ja mehr oder weniger einheitlich, wobei es hier wiederum einiges von den Vorlieben des Users abhängt (die Lücken waren schließlich in der Zusatzsoftware) - aber gerade bei Linux wollte ich darauf anspielen, dass es sehr viele Distis gibt, die durchaus unterschiedliche Konfigurationen und Kenntnisse zum "Sicherkonfigurieren" erfordern.

 

[KlausSchiefer]

@Bitmuncher
Danke fuer die Verbesserung.
BSD stammt von UNIX ab genau wie Linux, ist also so gesehen der Bruder.
Bringe das jedesmal durcheinander.
mfg

Grr.
BSD IST ein direkter UNIXableger der BSD Linie.
Linux ist ein UNIX Abklatsch der SystemV UNIXartigen Linie

Und Ubuntu ist sowieso sowohl vom Aufbau her wie von der Philosophie fast wie OpenBSD

Die beiden haben konzeptionell soviel miteinander zu tun wie Islamisten und Kiffer- nix.
Und sorry, wenn auch das Ironie war


Aber mal OT:

Immer wenn Linux mal mit "guten" Nachrichten aus der Sicherheitsbranche auffällt wird immer
ein solches Geschrei gemacht (nein, nicht dieser Thread, sondern allgemein ).
Beim Gegenteil heissts dann nur "jaaa, Linux ist aber nur der Kern blablabla".

Ziemliche Begeisterung jedenfalls für eine halbherzige OpenSource Politik, käuflichen
Entwicklern und die langsame Assimiliereung durch die global Player der Hardewarehersteller.

Nun haut mich

 

[beavisbee]

Original von KlausSchiefer
Nun haut mich

[OT]*KlausSchiefer-schlag*[/OT]
( sorry für OffTopic, aber das musste ma sein )

 

[CDW]

[OT]

Und sorry, wenn auch das Ironie war

grrr, gerade das war der Sarkasmus (und da spielt man extra noch auf Nvidia&Co Treiber an)
*auch zuschlag*

 

[Banur]

[OT]
Alle guten Dinge sind bekanntlich drei: *zuhau*
[/OT]

 

[Sven]

Heute bei golem auch ein vielleicht nicht ganz unnützer Artikel:

http://www.golem.de/0804/58808.html

Warum Wettbewerb wenn sich keiner die Mühe macht?

 

[Cyberm@ster]

Nicht ganz unnütz aber auch nicht ganz vollständig wenn man die Kommentare liest:

Der Vollständigkeit halber sollte man noch erwähnen, dass sich einige sehr wohl über die Linux Kiste informiert haben, aufgrund des hohen Aufwandes jedoch passiv geblieben sind:

"[...] some folks on hand had discovered bugs in the Linux OS, but many of them "didn't want to put the work into developing the exploit code that would be required to win the contest."

(http://www.engadget.com/2008/03/29/linux-becomes-only-os-to-escape-pwn-2-own-unscathed/)

Ich finde, dass der ganze Contest recht wenig aussagt, ein User hat es relativ treffend kommentiert:

Yeah, and that's exactly what this is: a contest based on desirability. People say that the MacBook Air is the most vulnerable, but I assume the following:

1) All of the hackers had roughly the same skill level
2) All three operating systems were exploitable

So what does that leave? Price and desirability. The macbook air is what, over $2000 with an extra $10000 on top of it? Of course that's going to be hacked first, it's the one that everyone would love to have for free (you all can argue that OS X sucks balls, but I think that the main complaint is price, and when that's out the window then suddenly it becomes very desirable).

 

[fetzer]

Meiner Meinung hat dieser Contest nichts mit der Sicherheit von Systemen zu tun. Da es zum einen nur eine begrenzte Zeitspanne gab konnten Bugs z.b. tiefer im Linuxkernel liegen nicht ausreichend untersucht werden. Zum Anderen gibt es 100 Millionen versch. Konfigurationen von Windows, Linux oder Mac OS. Wer keine Ahnung hat wird auch immer irgendwo ein unsicheres System haben, wer keine Updates einspielt wird gegen Fehler, die möglicherweise erst nach langer Codeanalyse oder nach langem Fuzzing gefunden wurden, nicht geschützt bleiben. Usw...
Man sollte also nicht auf Mac OS rumhacken, nur, weil es innerhalb von 2 Minuten durch eine Useraktion gehackt wurde. Wieviele Windows-User gibt es, die Anhänge öffnen, die für andere als sichere Malware gelten? Ne ganze Menge. Und wieviele Linux-User gibt es, die z.b. ihren Paketmanager-Quellen volles Vertrauen schenken, ohne auf Techniken wie Zertifikate zu setzen?