Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Minulý týden proběhla hackerská soutěž Pwn2Own Vancouver 2023. Adobe Reader, Microsoft SharePoint, Oracle VirtualBox, Tesla, Ubuntu Desktop, Windows 11, macOS, Microsoft Teams, VMWare Workstation. Vše hacknuto. Synacktiv získal 530 000 dolarů a Teslu Model 3.

Zajímala by mě dlouhodobá udržitelnost bezpečnosti. Je možné držet krok před hackery a přitom přidávat víc a víc funkcí? Obzvláště, když tendence vývoje je čím dál bouřlivější (všichni pomalu přecházejí na rollup CI/CD)
Zdar Max

Měl jsem sen ... :(

31.3.2023 07:42 Tak urcite
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Definuj vsichni :-)

Z linux sveta je trolling distro jen arch. Nektere ostatni maji vedle stable distribuce i experimentalni trolling distro BEZ jakekoli podopry (krome fora kde se dozvis standardni linuxovou vymluvu: "neco delas spatne, mne to funguje"). Windows, BSD, macOS, Haiku jsou vse stabilni distra a o trolling release ani neuvazuji.

31.3.2023 09:25 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Myslím to naprosto obecně, tedy jakékoli aplikace (a né jen OSS, prostě všechno). Ptát se ohledně distribucí nedává takový smysl.
Zdar Max

Měl jsem sen ... :(

31.3.2023 11:05 koroptev
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

proc chteji lidi rolling distra? aby kdyz v upstreamu nekdo vyda opravu / novou ficuru, tak aby ji hned meli k dispozici

proc nechteji lidi rolling distra? protoze to introdukuje nestabilitu ve forme treba tech bezpecnostnich zranitelnosti

co je dobrej kompromis? nerolling s nejakym pravidelnym predvidatlenym rytmem ala macos

poc to v linuxu nejde? protoze hrajou roli 2-3 distribuce a vsechny jednou na ty stejny vlne demence "musime mit 15 000 balicku, aby se vsechno dalo apt install xyz", coz je demence a utopie, cehoz dusledek je, ze debian ma stable verzi jednou za 5-10 let a na desktopu je nepouzitelna

kunepodivu z uplne stejnyoh duvodu nefungujou ani ty rolling distra, protoze pravdepodobnost, ze se neco rozmrda v 15 000 baliccich je jina, nez ze se to rozmrda v nejakym jadru 100 balicku..

cili 20 let linuxoveho desktopu a tohle porad nikomu nedoslo

31.3.2023 12:34 rad
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

kunepodivu z uplne stejnyoh duvodu nefungujou ani ty rolling distra, protoze pravdepodobnost, ze se neco rozmrda v 15 000 baliccich je jina, nez ze se to rozmrda v nejakym jadru 100 balicku

No to je asi pravda, ale za to rozmrdání je zodpovědný upstream. Tzn. pokud ten SW nepotřebuju, tak si ten balíček nenainstaluju a rozmrdání se mě netýká. Pokud ho potřebuju a nainstaluju si ho z jinýho zdroje, tak se mi to rozmrdá tak jako tak, ne?

Jinak podle mý zkušenosti, pokud se něco rozmrdá v Archu, tak je relativně snadný přijít na to co a opravit to, popř. odrolovat. Pokud se něco rozmrdá po upgradu celýho systému, kdy navíc od posledního upgradu vyšlo několik verzí je případný řešení takovýho rozmrdání mnohem komplikovanější.

31.3.2023 13:27 a
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Tyka. Spravce tvych balicku musi brat ostatni v potaz.

31.3.2023 14:02 koroptev
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

upstream = realita vnejsiho sveta, nad kterou nema zadnej maintainer distribuce zadnou kontrolu

tvurce distribuce pak tuhle realitu bud zohledni (= uvedomi si, ze je utopie mirit na schopnost nejak se zarucit za 15 000 balicku a rozhodne se zarucit jen za 100) nebo nezohledni, coz je soucasnej status quo

31.3.2023 15:51 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Za posledních 5 let se mi na mém Archu nic nerozbilo. Před tím se mi věci rozbíjely, ale to bylo spíše kvůli nepodpoře nové Intel GPU nebo příliš bujarému vývoji GUI. Pokud máš jinou zkušenost, poděl se. Nebo takovou zkušenost nemáš a jen vaříš z vody?
Zdar Max

Měl jsem sen ... :(

31.3.2023 17:38 Slapota
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Potreboval jsem Scribus v novejsi verzi nez nabizelo Ubuntu a misto abych tahal tar.gz a delal balicek sam jsem si rek ze co tak nahodit Arch a tam mi to naroluje nejnovejsi verzi. Natahnout projekt nejak natahlo, par drobnych uprav a pak export do postcriptu. Asi dva dny na to zakaznik chtel zmenu tak natahnu projekt, udelam zmenu, export a pic bada bum, ps polovicni velikosti a rozsypany bordel. No jo prirolovalo to novou verzi. Tak rollback na tu verzi dva dny starou. Pic bada bum, jeste horsi bordel v exportu. Hledat ktera knihovna se jeste dojebala sem nemel naladu a Arch sel z disku. Takovych historek je plny internet. Ze mas ty stesti tak se asi podivam na botu protoze do toho hovna co si slapl a nosi ti porad to stesti bude jeste jiste plna bota :-)

31.3.2023 18:11 sid
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Ako sa vola tato rozpravka? Cosi ako ako hlupy jano instaloval sw? Takych je veru plny internet. Taky jxd tipujem

1.4.2023 08:34 nadtržítko
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Přesně! Linux nikdy nepadne! Linux nikdy nemá chybu! Ještě i když user udělá chybu tak se to samo zázračně opraví! Jásejme - rok linuxoveho desktopu je tady! Patched by GPT.

31.3.2023 18:21 rad
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Musím souhlasit, představa, že roling distro je magnet na problémy je trochu přehnaná. Mnohem větší problémy jsem míval u distribucí, které masivně patchovaly (existuje pro to nějaký zažitý český ekvivalent?) kód z upstreamu, ale chyběly jim zdoje ty patche udržovat.

Na druhou stranu, abych byl upřímný, nedávno mě postihlo tohle https://github.com/systemd/systemd/issues/25363, takže šit hepns...

31.3.2023 21:35 hm
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

maxi maxi za poslednich 5 let se nestalo ze by meho souseda zrazilo auto proto jsou silnice bezpecni maxi maxi jsem smutnej z tehleto logiky radeji se budu drzet bezpecnejsich mist nez jsou silnice kde jezdej 15 000 aut denne dekuji netreba mi tleskat jsem uz zvyklej

3.4.2023 08:47 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Myslel jsem to ale i obecně, že dřív spousta lidí řešilo spoustu problémů s každou novější verzí něčeho a plno workaroundů kolem toho. Posledních hafec let je ale situace hodně klidná. Jednak se spoustu postupů vyladilo, dále zmizely velké změny, kdy se přecházelo na NM, systemd, KDE5 apod.
Zdar Max

Měl jsem sen ... :(

7.4.2023 07:08 Donald Truth
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Ono je to spise tim, ze spousta linuxaku uz vydela tolik ze si muze klidne poridit Mac desktop. Proto ubylo dotazu na forach a treba i tady na abicku, linux jako desktop umrel a lidi ho uz nemusi pouzivat.

7.4.2023 11:48 hm
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

bujd ferovej a nediskriminacni nejdriv byj mneli teprve uvidet vitezOS11pro a pak mac pac to nejlepsi by jim uteklo a zakryty voci nechce mit nigdo

31.3.2023 22:00 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Obecně čím víc funkcí, tím víc chyb. Avšak dovolím si tvrdit, že dříve byl software mnohem děravější. Nejenom, že jste na novou verzi s opravou čekal třeba rok, ale často jste se žádné opravy ani nedočkal, protože se místo bezpečnostních oprav, které nejsou vidět, dělaly nové funkce, protože marketing. Naopak lidi z bezpečnostních týmů si stěžují, že za bezpečnostní problém se dnes považuje kdejaká pitomost vedoucí „jen“ k pádu. Dříve, pokud jste neměl exploit, s kterým jste zběhal půl univerzitních serverů, tak se tím nikdo nevzrušoval. Přidávat nové funkce dnes není problém. Vývoj softwaru je docela zvládnutý obor a byrokracie s tím spojená (plánování, testování, dokumentace) se považuje za normální a zákazník ji zaplatí. Za mnohem nebezpečnější považuji přepisování/nahrazování existujících řešení, protože to bývá úplně nový kód plný dětských nemocí a chybějící funkcionality.

3.4.2023 08:39 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Výsledky hackerské soutěže Pwn2Own Vancouver 2023

To samozřejmě souhlas, ale také ten sw nebýval tak rozšířený a neviselo na něm spousta kritických věcí. Nároky se tedy rapidně zvyšují.
Jinak ano, jakákoli hloupost se dnes považuje za chybu, která by se měla vyřešit. I jen povolený telnet na nějakém hw boxu, co spíná nějaké světlo, je dnes velký problém, protože co když tam je nastavené stejné heslo jako někam jinam? Útočník může odposlechnout a pak bude mít třeba přístup do nějakého switche, ups atd. Ono i povědomí ohledně útoků roste, spousta hotových exploitů je k dispozici apod. Dokonce existují plně automatizovaní hackeři. Nemyslím teď jen scannery jako OpenVAS apod., ale myslím plně automatizované systémy, co všechny běžné úkony dělají místo hackera automaticky. Tj. neinvazivní scan (nemusí si ho všimnout ips/ids), sniff komunikace, pokud to někde najde nějaký hash, tak ho zkusí najít v databázích hesel, nebo případně lusknout přes GPU. Pokud to někde najde nějaké jméno uživatele (většinou podle emailu), podívá se do databáze uniklých hesel a zkusí to. Pokud najde potencionální zranitelnost, zkusí jí využít, nasadit do systému červa a zpřístupnit si ho plně pod kontrolu atd. Zrovna nedávno jsme podobné řešení měli nasazeno ve firmě a je to opravdu něco, kam takové věci pokročily. Příkladem budiž např. řešení Pentera.
Zdar Max

Měl jsem sen ... :(

Výsledky hackerské soutěže Pwn2Own Vancouver 2023

Komentáře