给我看看

大多数时候,当我报告某事时,工作是组织,排序和解释事实然而,凭借Maynor / Ellch / SecureWorks MacBook Wi-Fi安全传奇,它始终是关于失踪事实解释我们不知道的东西,而不是我们所知道的东西。

自从我写“我写了六个多月”假设的MacBook Wi-Fi Hack的奇怪案例”; in hindsight, I wouldn’t hesitate to call it the most difficult article I’ve ever written.

整个事情都回到了新闻中,因为上周David Maynor打破了沉默在他的博客上并在安全会议上格伦弗莱什曼的初步报告跟进提供有关Maynor新演示文稿的最佳报道。

但至少可以说,这仍然是令人不满意的,因为有仍然如此多的信息尚未透露。

我发现值得注意的是Maynor本周提供的演示是一个漏洞,在运行Mac OS X 10.4.6的MacBook中引起内核恐慌。8月黑帽会议引起如此轰动的视频演示是一种假设的漏洞利用,不会导致崩溃,而是以root权限劫持目标MacBook。

在对Fleishman关于Wi-Fi网络新闻的帖子的评论中,梅诺写道

Umm..I did release the code, it should be showing up on websites at any timeThe code proves you can control both a broadcom based powerbook and an atheros based macbookThe only thing missing from the code is the weaponized shellcode which is part of a talk I am doing in a few months.

即他声称已发布可能导致这些机器崩溃的代码,但尚未发布导致机器被劫持的“武器化shellcode”然而,据我所知,即使他声称“已经发布”的代码仍然无法向公众开放。

以下是我仍然关心的问题:

Maynor和Ellch的演示视频合法吗?

他们的演示视频导致混乱,因为视频中被劫持的MacBook配备了第三方Wi-Fi卡和驱动程序对视频的最初反应 - 毫无疑问是华盛顿邮报的Brian Krebs的标题所推动的“Hijacking a Macbook in 60 Seconds or Less“ - 基于误解,他们使用内置的AirPort卡和驱动程序显示了对MacBook的利用。

外部卡在视频中清晰可见,Maynor在摄像机上明确指出这是他们正在利用的东西因此,这种混乱是不幸的,而且我怀疑,从此以后,整个传奇的看法都蒙上了阴影许多人仍然认为争议是关于他们是否使用了第三方卡,这一事实从未真正引起过争议。

但是,视频的实际利用从未被证实或解释过Maynor和Ellch拒绝透露该卡的品牌和型号,理由是他们希望为供应商提供时间来发布软件更新以解决问题现在已经六个月了,他们仍然没有透露他们插入MacBook的卡是什么卡为什么?

吉姆汤普森的分析在高分辨率版本的视频中,他观察到MacBook上使用的网络接口具有分配给“Apple Computer”的范围内的MAC地址(世界上的每个以太网设备都有一个独特的MAC地址; they are assigned in blocks to the manufacturers of Ethernet devices.) Thompson wrote:

有点臭Maynor explicitly states that he isn’t using the internal Apple Airport card, but thisis the card with the IP address....

The important thing here is to note the lack of a USB device in the IP interfaces listedIn a very real sense, I find it likely that the USB device is a McGuffin分散注意力。

换句话说,有一个争议说这些家伙试图将对第三方Wi-Fi卡的攻击作为对内置MacBook AirPort卡的攻击,但有一个真实与虚假的相反的争议 - 他们的视频声称对一些尚未命名的第三方卡显示漏洞,但实际上显示了使用其内置AirPort卡连接到网络的MacBook。

如果视频合法,我认为没有理由为什么Maynor和Ellch现在无法发布其视频中据称被利用的卡和驱动程序的品牌和型号,以及重现劫持的代码和说明。

去年夏天有多少第三方USB Wi-Fi卡与基于英特尔的Mac配合使用?

他们是否有针对任何Apple AirPort卡的工作劫持漏洞?

If so, what Macs? What versions of Mac OS X? Could they have won my挑战if they had chosen to accept it? (I remain confident they could not; however, it seems entirely possible they could have achieved a draw by causing the machine to crash.)

Why, for example, was the demo Maynor showed last week against Mac OS X 10.4.6 rather than 10.4.7? After he caused a kernel panic on 10.4.6, Maynor rebooted the machine into 10.4.8 and showed that the exploit no longer worked.

但Mac OS X 10.4.7是于2006年6月27日发布,一个多月了之前Maynor和Ellch宣布他们的利用Maynor上周重新启动到10.4.8,以显示苹果于9月21日发布的补丁 - 在Maynor和Ellch 8月宣布之后 - 修复了他的演示所利用的问题,表明尽管苹果公司的抗议,他和Ellch应该归功于这些修复。

但如果他的漏洞对10.4.7不起作用,则可能表明恰恰相反:Apple的9月AirPort安全补丁与10.4.6的特定漏洞没有直接关系。

Maynor本周展示的漏洞导致内核恐慌这很糟糕,但它与他们视频中显示的“接管机器”劫持相去甚远(这是我挑战的前提)在他的问答式博客条目本周,Maynor写道:

我以为你说它是劫持但你只展示了DoS。

是的,我表现出了崩溃I didn’t feel the need to do the entire hijack for two reasons: Apple already confirmed that this vulnerability leads to remote code execution (they said so in the advisory这里)。

至少对我来说,目前还不清楚他所暗示的是“我觉得不需要做整个劫持”他是否有这样的劫持攻击,但选择不公开演示(例如so that those in the audience sniffing the traffic couldn’t grab it)? Or does he mean that he didn’t see the need to开发这样的利用,即使他认为有可能吗?

我认为他暗示后者 - 即crasher与安全更新发布说明中的Apple描述相结合,证明可以通过同一个向量进行劫持攻击苹果发行说明状态

影响:无线网络上的攻击者可以cause arbitrary code execution

(强调“可能”添加。)然而,Apple使用这种语言来解决任何缓冲区溢出问题事实上,粗略检查其他最近的安全更新中的发布说明表明Apple将它用于所有这些这可能意味着许多非常不同的事情这可能意味着它已被证明允许任意代码执行,并且Apple正在使用“可能”委婉地使用这可能意味着Apple意识到它允许任意代码执行,但仅限于某些(可能是罕见的)条件或者,可能是Apple的工程师不确定是否可能,并且既没有显示这样的漏洞,也没有找到自己的漏洞。

我说:告诉我。

I believe that the exploit Maynor showed last week is exactly what he says it is: a denial of service attack against MacBooks running 10.4.6 that he and Ellch discovered last summerIf so, I wish that he’d been able to announce this sooner; it’s quite obvious that Maynor’s then-employer, SecureWorks, forbade him from presenting evidence to defend his claims.

但我不认为这种利用必然会扩展为可靠的劫持如果Maynor发布他的漏洞利用代码,我们会更加了解,他承诺会这样做。