Preguntas al hacker de Pwn2Own Charlie Miller
VANCOUVER, BC — En la conferencia de seguridad CanSecWest, tuve la oportunidad de sentarme con Charlie Miller, el investigador que irrumpió dentro de una MacBook completamente actualizada usando una vulnerabilidad de código de ejecución del navegador Safari.
Discutimos el estado de la seguridad de los navegadores Web, el mercado de las vulnerabilidades y la necesidad de mitigaciones anti-explotación en los sistemas operativos modernos.
Ryan Naraine: ¿qué puede decirnos sobre la vulnerabilidad?
Charlie Miller: No mucho. Como parte de las reglas de la competencia, estoy bajo un acuerdo de no divulgación (NDA) respecto de los detalles técnicos. Puedo decirle que la computadora (MacBook Air) estaba completamente actualizada. Fue una explotación contra el Safari 4 y también funciona en Safari 3.
En realidad encontré esta falla antes del Pwn2Own del año pasado pero, en ese momento, era difícil de explotar. El último año, se podría ganar solo una vez así que reservar esta segunda falla. Salió bien, aún seguía allí este año así que escribí otra explotación y lo usé este año.
¿Funciona en Safari para Windows?
No lo sé. No me fijé.
¿Consideró informar la vulnerabilidad a Apple?
Nunca entrego gratis las vulnerabilidades. Tengo una campaña nueva. Se llama NO MÁS VULNERABILIDADES GRATIS. Las vulnerabilidades tienen un valor de mercado de modo que no tiene sentido trabajar duro para encontrar una falla, escribir una explotación y luego darlo sin más. Apple le paga a gente para hacer ese mismo trabajo de modo que sabemos que tiene un valor. No más fallas gratis.
¿Qué valor aproximado tiene esa falla de Safari?
Era de probablemente más que los u$s 5.000 del premio que gané. Es mucho menor que la vulnerabilidad de IE8 (explotada separadamente por Nils) en un factor de diez. Podía haber obtenido más que u$s 5.000 por ella pero me gusta la idea de venir aquí y exponer lo que puedo hacer y conseguir algunos titulare para la compañía en la que trabajo (Independent Security Evaluators).
¿Porqué Safari? ¿Porqué no fuiste tras IE or Safari?
En verdad es simple. El Safari en la Mac es más fácil de explotar. Las cosas que hace Windows para que sea más difícil (para que una explotación funcione), las Macs no las hacen. Atacar en una Mac es mucho más sencillo. No tienes que hacer malabares y lidiar con todas las mitigaciones anti-explotación que se encuentran en Windows.
Es más cuestión del sistema operativo que del programa (objetivo). Firefox en Mac también es muy sencillo. El SO subyacente no tiene cosas anti-explotación incorporadas en él.
[ Vea: 10 preguntas para el hacker de MacBook hacker Dino Dai Zovi ]
Con mi explotación para Safari, pongo el código en el proceso y se exactamente donde ca a estar. No hay distribución al azar. Se que cuando salto allí, el código está y puedo ejecutarlo allí. En Windows, el código puede aparecer pero no se donde está. Incluso si llego al código, no es ejecutable. Esas son dos vallas que las Macs no tienen.
Está claro que los tres navegadores (Safari, IE y Firefox)tienen fallas. Agujeros de ejecución por todas partes. Pero eso es sólo la mitad de la ecuación. La otra mitad es explotarlos. Casi no hay vallas por la que saltar en Mac OS X.
¿Qué es más difícil, encontrar la falla o escribir la explotación?
Está cambiando. Antes, siempre era difícil encontrar fallas, pero cuando encontrabas algo, era más sencillo escribir un código de explotación confiable. Ahora las (compañías de software) se volvieron astutas y hacen mucho más difícil la explotación. Es difícil encontrar una buena falla en estos días y aún más explotarla y tratar con todas las mitigaciones. Es por eso que Dino (Dai Zovi) y yo somos un buen equipo. Él se especializa en explotaciones y yo me puedo concentrar en encontrar buenas fallas.
En una escala de 1-10, ¿qué tan admirable fue el alcance de la explotación de Nils de los tres navegadores?
Me sorprendió. Por el de IE8 le daría 9 sobre 10. Por Safari, quizás un 2. Es tan fácil reventar a Safari. Por Firefox en Windows, le doy un 10. Ese fue el más admirable de los tres. Es verdaderamente difícil explotar Firefox en Windows.
¿En serio? ¿Cuál es la diferencia entre lo que puedes hacer en IE pero no puedes en Firefox?
La técnica que usó funciona contra IE pero no con Firefox. Permite poner código en una espacio específico en la memoria. Mark Dowd y Alex Sotirov hablaron sobre esto en el Black Hat del último año. Se puede usar la técnica para hacer que .Net no opte en las mitigaciones y saltárselo por arriba fácilmente. con Firefox, no se puede hacer eso.
De todos los navegadores en sistemas operativos, el blanco más difícil es Firefox sobre Windows. Con Firefox sobre Mac OS X, se puede hacer lo que quieras. No hay nada en el sistema operativo de Mac que te detenga.
Hablaste ante sobre el valor de las vulnerabilidades. ¿Fué una sorpresa que él (Nils) entregara los tres de "alto valor" por u$s 5.000 cada uno?
Queda claro que él es increíblemente talentoso. Quedé estupefacto cuando vi a alguien que se anotaba para ir tras el IE8. Se puede obtener una paga muchos más alta que u$s 5.000 por una de esas vulnerabilidades. He hablado a mucha gente lista, conocedora y nadie sabe con exactitud como lo hizo. Podría obtener fácilmente u$s 50.000 por aquella vulnerabilidad. Digo que u$s 50.000 es un precio de inicio.
Por el tiempo que empleó para hacer lo que hizo en IE y Firefox, podría haber encontrado y explotado cinco o 10 bugs de Safari. Ya que ellos pagan u$s 5.000 por cada vulnerabilidad verificable, él podría haber empleado el mismo tiempo y recursos y hacerse de u$s 25.000 o u$s 30.000 fácilmente solo yendo tras Safari sobre Mac.
Google Chrome fue un blanco que quedó en pie. ¿Le sorprendió?
Hay fallas en Chrome pero son muy difíciles de explotar. Ahora mismo tengo una vulnerabilidad pero no se como explotarla. Es verdaderamente difícil. Consiguieron el modelo de cajón de arena (sandbox)del cual es difícil salir. Con Chrome, es una combinación de cosas - uno no puede ejecutar en la (memoria) pila (heap), las protecciones en Windows y el cajón de arena.
[ VEA: Pwn2Own hacker: Apple Safari es una 'elección sencilla' ]
Debería tener esta vulnerabilidad y debería poder ser capaz de conseguir ejecutar código. Pero ahora uno está en un cajón de arena y no tiene permisos de hacer nada. Se necesita de otra falla para salir del cajón de arena. Ahora necesita dos fallas y dos explotaciones. Eso eleva la valla.
Al llegar, cuando publique mis predicciones, no pensaba que nadie iría tras Chrome, IE o Firefox. Por economía. Sólo es difícil o sencillo comparado con cuanto va a pagar alguien. Si Pwn2Own ofreciera $1 millón por falla de Chrome, habría una fila de gente buscando mandarlos a la quiebra.
¿Se están volviendo mejores los navegadores en general para asegurar a los navegantes Web?
Los navegadores son tan complejos, es casi imposible hacerlo todo bien. Con todo ese código y dependencias, es difícil ser perfecto. LA gente decía cinco años atrás que los desbordamientos de buffer estarían resueltos para esta época. Bien, no lo están. Las fallas siempre estarán allí así que la acción lógica es trabajar en las mitigaciones y controles (anti-explotación).
Los navegadores hacen un mejor trabajo al proveer advertencias visuales de sitios de phishing y malware o SSL pobre. No es suficiente pero es mejor que nada. Pienso que lo que uno ve con Chrome y el cajón de arena, es allí donde todos deben ir. Tomará algunos años pero deberá ser el estándar.
Traducido para blog Segu-info por Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs Zdnet
Discutimos el estado de la seguridad de los navegadores Web, el mercado de las vulnerabilidades y la necesidad de mitigaciones anti-explotación en los sistemas operativos modernos.
Ryan Naraine: ¿qué puede decirnos sobre la vulnerabilidad?
Charlie Miller: No mucho. Como parte de las reglas de la competencia, estoy bajo un acuerdo de no divulgación (NDA) respecto de los detalles técnicos. Puedo decirle que la computadora (MacBook Air) estaba completamente actualizada. Fue una explotación contra el Safari 4 y también funciona en Safari 3.
En realidad encontré esta falla antes del Pwn2Own del año pasado pero, en ese momento, era difícil de explotar. El último año, se podría ganar solo una vez así que reservar esta segunda falla. Salió bien, aún seguía allí este año así que escribí otra explotación y lo usé este año.
¿Funciona en Safari para Windows?
No lo sé. No me fijé.
¿Consideró informar la vulnerabilidad a Apple?
Nunca entrego gratis las vulnerabilidades. Tengo una campaña nueva. Se llama NO MÁS VULNERABILIDADES GRATIS. Las vulnerabilidades tienen un valor de mercado de modo que no tiene sentido trabajar duro para encontrar una falla, escribir una explotación y luego darlo sin más. Apple le paga a gente para hacer ese mismo trabajo de modo que sabemos que tiene un valor. No más fallas gratis.
¿Qué valor aproximado tiene esa falla de Safari?
Era de probablemente más que los u$s 5.000 del premio que gané. Es mucho menor que la vulnerabilidad de IE8 (explotada separadamente por Nils) en un factor de diez. Podía haber obtenido más que u$s 5.000 por ella pero me gusta la idea de venir aquí y exponer lo que puedo hacer y conseguir algunos titulare para la compañía en la que trabajo (Independent Security Evaluators).
¿Porqué Safari? ¿Porqué no fuiste tras IE or Safari?
En verdad es simple. El Safari en la Mac es más fácil de explotar. Las cosas que hace Windows para que sea más difícil (para que una explotación funcione), las Macs no las hacen. Atacar en una Mac es mucho más sencillo. No tienes que hacer malabares y lidiar con todas las mitigaciones anti-explotación que se encuentran en Windows.
Es más cuestión del sistema operativo que del programa (objetivo). Firefox en Mac también es muy sencillo. El SO subyacente no tiene cosas anti-explotación incorporadas en él.
[ Vea: 10 preguntas para el hacker de MacBook hacker Dino Dai Zovi ]
Con mi explotación para Safari, pongo el código en el proceso y se exactamente donde ca a estar. No hay distribución al azar. Se que cuando salto allí, el código está y puedo ejecutarlo allí. En Windows, el código puede aparecer pero no se donde está. Incluso si llego al código, no es ejecutable. Esas son dos vallas que las Macs no tienen.
Está claro que los tres navegadores (Safari, IE y Firefox)tienen fallas. Agujeros de ejecución por todas partes. Pero eso es sólo la mitad de la ecuación. La otra mitad es explotarlos. Casi no hay vallas por la que saltar en Mac OS X.
¿Qué es más difícil, encontrar la falla o escribir la explotación?
Está cambiando. Antes, siempre era difícil encontrar fallas, pero cuando encontrabas algo, era más sencillo escribir un código de explotación confiable. Ahora las (compañías de software) se volvieron astutas y hacen mucho más difícil la explotación. Es difícil encontrar una buena falla en estos días y aún más explotarla y tratar con todas las mitigaciones. Es por eso que Dino (Dai Zovi) y yo somos un buen equipo. Él se especializa en explotaciones y yo me puedo concentrar en encontrar buenas fallas.
En una escala de 1-10, ¿qué tan admirable fue el alcance de la explotación de Nils de los tres navegadores?
Me sorprendió. Por el de IE8 le daría 9 sobre 10. Por Safari, quizás un 2. Es tan fácil reventar a Safari. Por Firefox en Windows, le doy un 10. Ese fue el más admirable de los tres. Es verdaderamente difícil explotar Firefox en Windows.
¿En serio? ¿Cuál es la diferencia entre lo que puedes hacer en IE pero no puedes en Firefox?
La técnica que usó funciona contra IE pero no con Firefox. Permite poner código en una espacio específico en la memoria. Mark Dowd y Alex Sotirov hablaron sobre esto en el Black Hat del último año. Se puede usar la técnica para hacer que .Net no opte en las mitigaciones y saltárselo por arriba fácilmente. con Firefox, no se puede hacer eso.
De todos los navegadores en sistemas operativos, el blanco más difícil es Firefox sobre Windows. Con Firefox sobre Mac OS X, se puede hacer lo que quieras. No hay nada en el sistema operativo de Mac que te detenga.
Hablaste ante sobre el valor de las vulnerabilidades. ¿Fué una sorpresa que él (Nils) entregara los tres de "alto valor" por u$s 5.000 cada uno?
Queda claro que él es increíblemente talentoso. Quedé estupefacto cuando vi a alguien que se anotaba para ir tras el IE8. Se puede obtener una paga muchos más alta que u$s 5.000 por una de esas vulnerabilidades. He hablado a mucha gente lista, conocedora y nadie sabe con exactitud como lo hizo. Podría obtener fácilmente u$s 50.000 por aquella vulnerabilidad. Digo que u$s 50.000 es un precio de inicio.
Por el tiempo que empleó para hacer lo que hizo en IE y Firefox, podría haber encontrado y explotado cinco o 10 bugs de Safari. Ya que ellos pagan u$s 5.000 por cada vulnerabilidad verificable, él podría haber empleado el mismo tiempo y recursos y hacerse de u$s 25.000 o u$s 30.000 fácilmente solo yendo tras Safari sobre Mac.
Google Chrome fue un blanco que quedó en pie. ¿Le sorprendió?
Hay fallas en Chrome pero son muy difíciles de explotar. Ahora mismo tengo una vulnerabilidad pero no se como explotarla. Es verdaderamente difícil. Consiguieron el modelo de cajón de arena (sandbox)del cual es difícil salir. Con Chrome, es una combinación de cosas - uno no puede ejecutar en la (memoria) pila (heap), las protecciones en Windows y el cajón de arena.
[ VEA: Pwn2Own hacker: Apple Safari es una 'elección sencilla' ]
Debería tener esta vulnerabilidad y debería poder ser capaz de conseguir ejecutar código. Pero ahora uno está en un cajón de arena y no tiene permisos de hacer nada. Se necesita de otra falla para salir del cajón de arena. Ahora necesita dos fallas y dos explotaciones. Eso eleva la valla.
Al llegar, cuando publique mis predicciones, no pensaba que nadie iría tras Chrome, IE o Firefox. Por economía. Sólo es difícil o sencillo comparado con cuanto va a pagar alguien. Si Pwn2Own ofreciera $1 millón por falla de Chrome, habría una fila de gente buscando mandarlos a la quiebra.
¿Se están volviendo mejores los navegadores en general para asegurar a los navegantes Web?
Los navegadores son tan complejos, es casi imposible hacerlo todo bien. Con todo ese código y dependencias, es difícil ser perfecto. LA gente decía cinco años atrás que los desbordamientos de buffer estarían resueltos para esta época. Bien, no lo están. Las fallas siempre estarán allí así que la acción lógica es trabajar en las mitigaciones y controles (anti-explotación).
Los navegadores hacen un mejor trabajo al proveer advertencias visuales de sitios de phishing y malware o SSL pobre. No es suficiente pero es mejor que nada. Pienso que lo que uno ve con Chrome y el cajón de arena, es allí donde todos deben ir. Tomará algunos años pero deberá ser el estándar.
Traducido para blog Segu-info por Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs Zdnet
Tremenda información te felicito!
ResponderBorrarComentare sobre esto en mi blog: http://calderingroup.blogspot.com