Pwn2Own Gewinner: OS X ist sicherer als Windows

[ra1ner]

Habt Ihr Euch mal die Mühe gemacht, die Quelle direkt zu lesen?

Hallo Leute,

"Between Mac and PC, I'd say that Macs are less secure for the reasons we've discussed here (lack of anti-exploitation technologies) but are more safe because there simply isn't much malware out there."

Ich finde das jetzt nicht so schmeichelhaft, wie der AT-Artikel das darstellt und viele es hier verstanden haben. Das heißt im Klartext: In Fragen der Systemsicherheit ist MS technisch besser. Praktisch ist Apple nur deshalb sicherer, weil der Mac dank des niedrigen Marktanteils keine sehr große Angriffsfläche bietet.

Das ist gerade so, als sagte mir der Autohändler: Unsere Diebstahlsicherung ist technisch veraltet und kann recht leicht überwunden werden, aber die Diebe interessieren sich halt mehr für die Konkurrenz. Deshalb ist unser Auto besser gegen Diebstahl geschützt. Ähm, ja!

Mal gesetzt den Fall, die Marktanteile wären 50:50 verteilt und die Motivation für Mac-Malware entsprechend größer, sähe Apple im direkten Vergleich sicherheitstechnisch wohl alt aus. Leider.

R.

 

[Axel!]

Das klingt doch super. Aber wie man sieht, ist nichts 100% sicher.

 

[eerie]

nicht schlecht - osx wird zum 2ten mal hintereinander 'gewinner' des pwn2own wettbewerb, wurde in diesem jahr sogar von 3 verschiedenen leuten auf 3 verschiedene arten gehackt (miller, nils und tinnes) wobei einer der hacker in seinem interview bekannt gibt wie einfach der hack auf dem mac gewesen ist - und die mac community feiert sich selbst und gibt bekannt dass sie das sicherste os hat.

gratulation at für diese objektive und gut recherchierte berichterstattung

und ja, der ie8 wurde bei dem wettbewerb auch gehackt nur sollte man sich folgendes mal durchlesen:

On March 18th, German researcher Nils won the Sony laptop and 5K by demonstrating he could gain complete control over a machine by exploiting a previously unknown “Zero Day” vulnerability in the most current Beta version of IE8. His exploit did, in fact, employ the technique found by Sotirov and Dowd.

On March 19th around 9:00AM, Microsoft made available the “official” RTW IE8 download.

This released version of IE8 broke the ASLR and DEP evasion exploit technique, which is fantastic news for consumers, but sad news for tools like HD Moore’s MetaSploit-- as well as Nils exploit for IE8.

nachzulesen hier: http://dvlabs.tippingpoint.com/blog...-exploit-foiled-is-the-browser-finally-secure

somit ist die lücke im ie8 schon gefixt ... wie siehst mit den exploits bei safari aus ?

eerie

 

[Doms]

Das ist vollkommen falsch. Die Marktanteil hat nichts mit der Menge von Malware zu tun. Ansonsten würden z.B. nicht bevorzugt IIS-Server angegriffen werden.

Da muss ich dir vollkommen Recht geben. Gerade große Betriebe nutzen größtenteils Macs. Diese Zielgruppe hat viel empfindlichere Daten als all die anderen Privatnutzer und trotzdem hackt man sich eher bei den Privatnutzern ein.

 

[Flolle]

Also der Text da oben gibt das was der Kerl sagte aber nicht so wirklich genau wieder!

 

[Doms]

Also der Text da oben gibt das was der Kerl sagte aber nicht so wirklich genau wieder!

meinst du meinen Beitrag? Klick auf den Pfeil im Zitat, so findest du den Original-Beitrag.

 

[Flolle]

meinst du meinen Beitrag? Klick auf den Pfeil im Zitat, so findest du den Original-Beitrag.

Nein ich meinte den News-Beitrag...und ich hab auch keine Ahnung von welchem Pfeil du redest! :-D

 

[MacMark]

nicht schlecht - osx wird zum 2ten mal hintereinander 'gewinner' des pwn2own wettbewerb, wurde in diesem jahr sogar von 3 verschiedenen leuten auf 3 verschiedene arten gehackt (miller, nils und tinnes) wobei einer der hacker in seinem interview bekannt gibt wie einfach der hack auf dem mac gewesen ist - und die mac community feiert sich selbst und gibt bekannt dass sie das sicherste os hat. …

OS X wurde nicht "gehackt", sondern die Browser. Bei OS X ist der Browser nicht integraler Teil des Betriebssystems. :-*
Eine ASLR ist nichts anderes als security by obscurity und wie gesehen kein Hindernis.

Miller brauchte über ein Jahr, um den Bug in Safari ausnutzen zu können. Seine ersten Versuche waren gescheitert. Klingt das leicht?
Der IE8 wurde, sobald er rauskam, auf Windows gehackt und das trotz ASLR. Klingt das schwierig?

Nachtrag:
"Gewinner" bedeutete hier nur Losglück, welcher Exploit zuerst vorgeführt werden durfte.

 

[Steffo]

OS X wurde nicht "gehackt", sondern die Browser. Bei OS X ist der Browser nicht integraler Teil des Betriebssystems. :-*

Willst du Dinge wieder umreden? Weshalb hatte Nils den Firefox-Bug lieber auf Mac OS X vorgeführt anstatt auf Windows, na? Hat nichts mit dem Betriebssystem zu tun? Natürlich...

Eine ASLR ist nichts anderes als security by obscurity und wie gesehen kein Hindernis.

Hoffentlich ist dir bewusst, dass deine Worte vollkommen anders wären, wenn Mac OS X ASLR wie Windows hätte und Windows dieses Feature fehlen würde. Du würdest dann Miller, Nils und Co. zitieren wie schwierig es ASLR mache Exploits auszuführen, so wie das bei Windows momentan ist.
Ein Hindernis steht ASLR sehr wohl dar, nur ist eben nichts 100% sicher. Man kann Dinge immer nur erschweren. Das war schon immer so und wird auch immer so sein.

Miller brauchte über ein Jahr, um den Bug in Safari ausnutzen zu können. Seine ersten Versuche waren gescheitert. Klingt das leicht?

Das klang für mich im Interview anders. Von welchem Bug der beiden letzten Jahre redest du außerdem?
Ob das leicht klingt? Nun, wenn Miller und Co. es leicht finden Mac OS X zu hacken, dann klingt das für einen Hacker leicht, auch wenn du nun versuchst gegenteiliges zu behaupten...

Der IE8 wurde, sobald er rauskam, auf Windows gehackt und das trotz ASLR. Klingt das schwierig?

Windows 7 und IE8 sind noch jung, aber das scheinst du nicht zu berücksichtigen, da der Hersteller nicht Apple heißt. Im Vergangenen Pwn2Own-Contest hast du hingegen in einem deiner Artikel hervorgehoben, dass Safari noch jung ist.

Apples aktualisierte seine Version leider erst, nachdem Charlie Miller einen bekannten Fehler in dieser Bibliothek nutzte, um den Safari auf dem iPhone, das gerade frisch auf dem Markt war, medienwirksam anzugreifen.

http://www.macmark.de/blog/osx_blog_2008-12.php#macbook_not_hacked_in_two_minutes

Liebe Grüße
Steff

 

[Funksoulbrother]

Amen, Steffo.

Wenigstens ein Mensch hier, der sich gegen diesen absurden Beitrag auf Apfeltalk wehrt.

Aber das ist mal wieder typisch Apfeltalk. Sachverhalte so verdreht, dass am Ende OS X wieder das allerbeste ist. Leute wie der bahnfahrende Berufssohn schlucken sowas natürlich gerne, ohne es zu hinterfragen, weil es genau das ist was der typisch verblendete Apple User hören will.

Aus den Aussagen der Hacker geht ganz klar hervor, dass es wesentlich Schwieriger und Mühsamer ist, für Vista SP1 mit ASLR einen exploit zu schreiben, als für OS X.

Da helfen dann auch keine Aussagen von MacMark, dass ASLR zu vernachlässigen ist, weil ein exploit sowieso möglich ist. Wenn etwas schwieriger gemacht wurde, hält es den ein oder anderen nicht so begabten Cracker davon ab.
Ich verzichte doch auch nicht auf Passwörter am PC, bloß weils ja generell Möglich ist Passwörter, wie auch immer, zu knacken.

 

[Chu]

Und was ist mit gängigen Linux distris wie Debian, (K..)Ubuntu usw? Oo

 

[|kiwi|]

Aber das ist mal wieder typisch Apfeltalk. Sachverhalte so verdreht, dass am Ende OS X wieder das allerbeste ist.

genau aus dem grund kann ich die news auf der seite absolut nimmer ernst nehmen. verdrehtes halbwissen dass nur dazu dient irgend ne polemische meinung des schreibers hervorzuheben. wer nicht objektiv an eine sache rangehen kann, sollte es wirklich lassen in der branche zu arbeiten... auch wenns nur hobbymäßig is.

 

[shorebreak]

genau aus dem grund kann ich die news auf der seite absolut nimmer ernst nehmen. verdrehtes halbwissen dass nur dazu dient irgend ne polemische meinung des schreibers hervorzuheben. wer nicht objektiv an eine sache rangehen kann, sollte es wirklich lassen in der branche zu arbeiten... auch wenns nur hobbymäßig is.

Einglück, meist schaffen sie es ja den englischen Wortlaut sinngemäß von den anderen Seiten zu übertragen. Insofern ist es gut, dass AT nicht allzu oft den eigenen Hirnschmalz hinzunimmt. Was dann so passiert, sieht man ja an diesem Newseintrag.

 

[Joe]

Hallo Leute,

"Between Mac and PC, I'd say that Macs are less secure for the reasons we've discussed here (lack of anti-exploitation technologies) but are more safe because there simply isn't much malware out there."

Ich finde das jetzt nicht so schmeichelhaft, wie der AT-Artikel das darstellt und viele es hier verstanden haben. Das heißt im Klartext: In Fragen der Systemsicherheit ist MS technisch besser. Praktisch ist Apple nur deshalb sicherer, weil der Mac dank des niedrigen Marktanteils keine sehr große Angriffsfläche bietet.

Das ist gerade so, als sagte mir der Autohändler: Unsere Diebstahlsicherung ist technisch veraltet und kann recht leicht überwunden werden, aber die Diebe interessieren sich halt mehr für die Konkurrenz. Deshalb ist unser Auto besser gegen Diebstahl geschützt. Ähm, ja!

Mal gesetzt den Fall, die Marktanteile wären 50:50 verteilt und die Motivation für Mac-Malware entsprechend größer, sähe Apple im direkten Vergleich sicherheitstechnisch wohl alt aus. Leider.

R.

Naja ich mach mir die Mühe meistens deswegen nicht, weil ich Apfeltalk schon als eigenständige News Seite ansehe. Aber scheinbar sollte man tatsächlich auf andere Quellen zurückgreifen.

 

[Pablo85]

ist ja auch apple...

 

[philleb]

Ich bin zwar weinender Windows user der conficker und co. immer an sich hat aber wenn ich endlich die hackint0sh anleitung hinbekomme bin ich sehr happy

 

[MacMark]

…

ASLR ist, egal wo, immer "security by obscurity". Leopard hat das für Libraries bereits auch. Das ist, worauf sich die "Hacker" mit "leichter" berufen, daß "nur" die Libs mit ASLR gewürfelt werden. Sie müssen dann halt noch zusätzlich eine Suchfunktion im Exploit nutzen, wenn ASLR im Weg ist.

Daß ASLR nichts bringt, sieht man daran, daß der IE 8 auf Win 7 problemlos in der kurzen Zeit, in der er überhaupt schon verfügbar war, geknackt werden konnte. ASLR hat sie nicht nennenswert aufgehalten.

Miller hat den Bug, den er dieses Jahr gegen Safari verwendete, bereits vor mehr als einem Jahr gekannt. Letztes Jahr mußte er aber einen anderen nutzen, weil er es nicht schaffte diesen zu exploiten. Nach einem weiteren Jahr war er erst in der Lage, den Bug auszunutzen. Und das, obwohl ihm ASLR nicht im Weg stand dabei. Details hier:
http://www.macmark.de/blog/osx_blog_2009-03.php#macbook_not_hacked_in_two_minutes_again

Was jeden Exploit wirklich entschärft, sind Sandboxen, wie sie Leopard ermöglicht. Nicht die halbgaren Integrity-Level von Vista (und IE).

 

[Steffo]

Sorry, MacMark, aber du solltest endlich aufhören Dinge zu verdrehen!!!

Du schreibst in deinem Artikel:

Es war also nicht leicht für ihn, denn sein erster Versuch, dafür einen Exploit zu schreiben, scheiterte.

Weder in deinem Zitat, noch im Original-Artikel ist davon die Regel, dass "sein erster Versuch" misslang. Es ist lediglich herauszulesen, dass er vor einem Jahr gleich 2 Bugs gefunden hatte und er
1. sich für die leichtere Variante entschied.
2. sich den zweiten Bug für nächstes Jahr aufheben wollte, da man "nur einmal gewinnen durfte".
3. War das keine "Vorbereitung von über einem Jahr", wie du behauptest, da er sich diesen Bug einfach nur aufheben wollte. Ist auch verständlich, da er der Ansicht ist, wie im verlinkten Artikel zu lesen ist, dass man sich für gefundene Bugs bezahlen lassen soll.

Ryan Naraine: So, what can you tell us about the vulnerability?

Charlie Miller: Not much. As part of the contest rules, I’m under NDA about the technical details. I can tell you the computer (MacBook Air) was fully patched. It was an exploit against Safari 4 and it also works on Safari 3. I actually found this bug before last year’s Pwn2Own but, at the time, it was harder to exploit. I came to CanSecWest last year with two bugs but only one exploit. Last year, you could only win once so I saved the second bug. Turns out, it was still there this year so I wrote another exploit and used it this year.

Ferner ist es eine Unverschämtheit von dir, dass du auf weitere Punkte Millers nicht eingehst, wie z. B. hier weiter unten im Artikel:

Why Safari? Why didn’t you go after IE or Safari?

It’s really simple. Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for an exploit to work), Macs don’t do. Hacking into Macs is so much easier. You don’t have to jump through hoops and deal with all the anti-exploit mitigations you’d find in Windows.
It’s more about the operating system than the (target) program. Firefox on Mac is pretty easy too. The underlying OS doesn’t have anti-exploit stuff built into it.

Was er sagt:
1. Safari ist auf dem Mac einfacher auszunutzen.
2. Auf Windows ist das ganze schwieriger.
3. Macs sind einfacher zu hacken.
4. Es ist mehr eine Sache des Betriebssystem, als eine Sache des Browsers!


Außerdem scheint ASLR nicht so leicht umgehen zu sein, wie du behauptest:

With my Safari exploit, I put the code into a process and I know exactly where it’s going to be. There’s no randomization. I know when I jump there, the code is there and I can execute it there. On Windows, the code might show up but I don’t know where it is. Even if I get to the code, it’s not executable. Those are two hurdles that Macs don’t have. It’s clear that all three browsers (Safari, IE and Firefox) have bugs. Code execution holes everywhere. But that’s only half the equation. The other half is exploiting it. There’s almost no hurdle to jump through on Mac OS X.

Dann bezieht er sich auf Nils.

On a scale of 1-10, how impressive was the Nils’ sweep of exploiting all three main browsers?

I was surprised. For IE 8, I’d give him a 9 out of 10. For Safari, maybe a 2. It’s just too easy to pop Safari. For Firefox on Windows, I give him a 10. That was the most impressive of the three. It’s really hard to exploit Firefox on Windows.

Hier sagt er, dass weder er noch andere schlaue Köpfe eine Ahnung hätten, wie Nils IE8 umgangen hätte und er für diesen Bug locker $50 000 bekommen hätte! Die Zeit, die er für IE 8 und Firefox investiert hat, hätte er locker 5 oder 10 Safaris Bugs finden und ausnutzen können.

You talked earlier about the value of vulnerabilities. Was it a surprise that he (Nils) basically gave up three “high-value” bugs for $5,000 each?

It’s clear he’s incredibly talented. I was shocked when I saw someone sign up to go after IE 8. You can get paid a lot more than $5,000 for one of those bugs. I’ve talked to a lot of smart, knowledgeable people and no one knows exactly how he did it. He could easily get $50,000 for that vulnerability. I’d say $50,000 is a low-end price point.
For the amount of time he spent to do what he did on IE and Firefox, he could have found and exploited five or 10 Safari bugs. With the way they’re paying $5,000 for every verifiable bug, he could have spent that same time and resources and make $25,000 or $30,000 easily just by going after Safari on Mac

Solche Unbequemlichkeiten kommen dabei raus, wenn man sich die Quellen (die glücklicherweise wenigstens angegeben sind) selbst anschaut und nicht einfach alles schluckt, was einem vorgegaukelt wird. Und dies macht deutlich, dass selbst technisch versierte Leute und "Redakteure" mit einer rosaroten Brille durchs Leben laufen.

Ich steige jetzt aus. Wenn Leute unbedingt in einem Ponyhof leben wollen, werden sie sich davon nicht abhalten lassen.

EDIT: Der Artikel dazu: http://blogs.zdnet.com/security/?p=2941

Liebe Grüße
Steff

 

[James Grieve]

Na dann bleibt zu hoffen, dass Apple mal seine Sicherheits-Abteilung aufstockt und mal was unternimmt. Kann ja nicht so schwer sein, bei einem eigentlich sehr durchdachten OS.

 

[MacMark]

Steffo, ich verdrehe nichts und verbitte mir ausdrücklich solche Unterstellungen.

Miller redet vom ASLR, wenn er von "easier" sprach. Miller war vor einem Jahr nicht in der Lage, den Bug zu exploiten. Wenn es prinzipiell so leicht wäre, OS X zu hacken, wie Du es in seine Interviews hineininterpretierst, dann hätte Miller diesen Bug mal eben schnell ("in zwei Minuten") exploiten können. Er war ihm aber zu schwer und er hat es ein Jahr später nochmal probiert (mit mehr Erfahrung und Wissen).
Ich glaube nicht, daß Niels einen Exploit für 5.000 Dollar verkauft, wenn er 50.000 dafür kriegen könnte. Wenn es ihm nur um die Ehre ginge, würde er es ohne Geld machen. Er macht es aber für Geld. Also: Warum sollte er nun die läppischen 5.000 nehmen, wenn er 50.000 haben könnte?