采访:Dino Dai Zovi

Dino Dai Zovi在上周写了这个获胜的漏洞CanSecWest MacBook Pro黑客大赛本周早些时候,我通过电子邮件采访了戴佐维。

格鲁伯:你的计算机安全背景是什么?

戴佐维:我的背景主要是安全测试的“对抗性”或“冒犯性”方面这通常涉及扮演确定且熟练的攻击者的角色,以便危及网络,Web应用程序,软件应用程序或操作系统的安全性这样做是为了在恶劣条件下测试系统的安全性,发现潜在的弱点,并提高系统的整体安全性最近,我在安全管理方面发挥了更“防御性”的作用。

格鲁伯:CanSecWest比赛的规则是什么,你是如何参与的?

戴佐维:这场比赛涉及挑战,分成两台Mac,一台15英寸和17英寸的MacBook Pro这些笔记本电脑都安装了Mac OS X 10.4的默认安装,并且已应用所有补丁(包括4月19日发布的安全更新)为了赢得15英寸,攻击者不得不远程获得用户级别的笔记本电脑访问权限为了赢得17英寸,攻击者必须远程获得根级访问权限笔记本电脑是在开放的无线网络上设置的,允许任何人与网络关联并攻击他们。

比赛分阶段进行,以逐步扩大攻击面在第一阶段,笔记本电脑只能对主动远程攻击开放这些是可以在任何时间远程在计算机上启动的攻击类型对于第二阶段,笔记本电脑将开放基于Web的客户端远程攻击这些涉及笔记本电脑访问由潜在攻击者创建的潜在敌对网站最后阶段还涉及笔记本电脑在Mail.app中查看邮件最后,只完成了前两个阶段。

我星期四晚上参与了我在美国东部时间晚上9:30左右接到电话,听说没有人赢过笔记本电脑,周五是会议的最后一天这听起来像是一个很大的挑战,所以我决定与Shane Macaulay合作,看看我们是否能赢得这场比赛我坐下来开始寻找一个基于网络的漏洞,大约在晚上10点左右,在早上3点左右找到一个,并在早上7点左右写了一个可靠的工作漏洞。

格鲁伯:您的漏洞利用程序在Mac上做了什么来证明它具有用户级访问权限?

戴佐维:在登录用户的主目录中的文件中有书面说明攻击者必须妥协该用户并按照其中包含的说明来证明他们已获得该级别的访问权限。

格鲁伯:我怀疑有些人可能会读到这一点,并认为您的漏洞利用“仅”获得用户级权限是个好消息但是像这样的攻击在攻击者手中可能是灾难性的利用用户级权限,漏洞可以读取,删除或损坏用户主目录中的任何内容 - 或多或少所有用户自己的数据从技术上讲,root攻击更难,更强大,但实际上,用户级权限是攻击者所需要的正确?

戴佐维:远程用户权限利用通常比远程用户权限漏洞要困难得多但是,通常,本地用户对root攻击的查找比远程用户权限漏洞更容易找到因此,一般来说,可以合理地假设一旦攻击者拥有对系统的本地用户访问权限,就不难获得root用户还应该指出,如果用户权限是管理员用户,则可以写入/应用//图书馆/,这种访问是非常具有破坏性的在(主要)单用户计算机(如笔记本电脑或台式机)上,即使是非管理员用户级权限也足以应对大多数攻击(读取数据,破坏正在运行的应用程序等)。

格鲁伯:对您可以使用安装程序光盘替换系统软件和应用程序如果您没有备份 - 对大多数人来说也是如此 - 您无法替换数据。

How much can you say about the details of your exploit? Thomas Ptacek报道与一些初步报告相反,它并不是特定于Safari,并且可以通过禁用Java来防御它Can you verify that? Is it specific to Intel-based Macs? Does it crash the browser?

戴佐维:此漏洞是QuickTime中基于Java的漏洞默认情况下,在Mac平台上安装QuickTime,因此任何在Mac平台上使用Java的Web浏览器都容易受到攻击(Firefox和Safari已被确认为易受攻击)Windows上的Firefox也被认为存在风险在所有平台上,禁用Java可以缓解此漏洞。

格鲁伯:Do you think there’s any reason to believe this vulnerability is being taken advantage of in the wild? I’m not suggesting it leaked out from your successful exploit at CanSecWest — I’m curious whether you suspect others have previously discovered it independently.

戴佐维:我不知道这个漏洞在野外被利用的任何情况我亲自对与漏洞相关的信息进行了非常严密的控制,并希望这足以在上周宣布漏洞存在后限制漏洞的独立重新发现。然而,我已经从事这项业务,足以让人知道一个人只发现一个漏洞的谬论例如,我向Apple报告的最后一个漏洞是一个涉及Mach异常端口的本地根漏洞,是由阿姆斯特丹的一名大学生独立发现的这个学生在一个可公开访问的网络目录中保留了一个漏洞利用(一个比我更优雅的漏洞,我可能会添加)事实证明,在我向Apple报告之前,他们已经发现了这个漏洞谁知道他们或任何偶然发现他们的漏洞利用的人已经做了什么而且我知道这不是一个孤立的事件。

格鲁伯:Do you use a Mac as your primary computer? If so, what security precautions do you take? I’m going to go out on a limb and predict you do not use any sort of commercial anti-virus package.

戴佐维:我使用Mac作为我的主要,辅助和三级计算机:)我采取了一些额外的安全预防措施,例如始终作为非管理员帐户运行,使用单独的加密磁盘映像和钥匙串用于不同目的,以及隔离不同机器上的数据我还采取了一些额外的预防措施,我不打算公开宣传:)但是,我没有运行任何商业反病毒软件包。

格鲁伯:你认为典型的Mac用户应该采取的预防措施是否现在不是?

戴佐维:我建议他们让他们的主要用户帐户成为非管理员用户,我认为这是可用性和安全性之间的合理折衷我还建议更多有安全意识的用户创建一个单独的钥匙串,重要密码超时5分钟即使用户使用的是FileVault,敏感财务或个人文档的单独加密磁盘映像也是保护您个人信息的另一种简单而谨慎的措施。

格鲁伯:Do you use FileVault? I don’t我存储有关加密磁盘映像的财务和私人信息,但我担心将整个主目录存储在一个上我觉得我遇到问题的可能性远远超过了我遇到安全问题的问题,而且如果事情随着驱动器向南移动,FileVault会使恢复文件变得更加困难。

戴佐维:我以前在我的笔记本电脑上使用过FileVault,在旅行和咨询时没有太多事故这些天,我不再做咨询和旅行,所以我没有使用它我仍然使用单独的加密磁盘映像来处理不同类型的数据。

格鲁伯:我听说过安全专家中存在一些已知的Mac OS X漏洞Do you believe — or know — this to be the case?

戴佐维:安全专家经常利用他们发现的漏洞和供应商正在解决的漏洞其他一些人选择不报告他们发现的漏洞因此,如果有许多OS X漏洞,我不会感到惊讶,我已经在过去看到过这方面的证据(即Mach异常端口利用)。

格鲁伯:您没有参加CanSecWest会议,但利用它的漏洞发现和利用是您的工作你和你的朋友Shane Macaulay分享奖金他获得了MacBook Pro,你获得了10,000美元如果没有将现金添加到奖品中,你会参与进来吗?

戴佐维:是For me, the challenge, especially with the time pressure, was the real allure.

格鲁伯:10,000美元是一个很好的钱包Are you aware of any other similar contests with prizes this high? Is this common?

戴佐维:2001年,Argus向能够闯入PitBull操作系统的任何人提供了48,000美元,这是一个基于Solaris 7的可信操作系统由Michal Chmielewski,Sergiusz Fornrobert,Adam Gowdiak和Tomasz Ostwald组成的一个名为“最后阶段的谵妄”的波兰团体赢得了Argus的黑客挑战虽然阿格斯公开宣布LSD已经赢得挑战,但在18个月后,他们只支付了总奖金5000美元,并切断了与LSD的沟通。

TippingPoint为Microsoft Windows中的关键漏洞提供了类似的金额,但这是针对在一个月内提交的任何漏洞,而不仅仅是在这种情况下的三天。

格鲁伯:在你与Ryan Naraine的采访中,你有很好的话要说你向Apple报告调查结果的经验Do you think there’s anything Apple should do different with Mac OS X itself that would improve security? (E.g您是否认为Apple应该更改首次运行的配置UI,以鼓励用户创建非管理员帐户?)

戴佐维:I think Apple is to be commended for proactively releasing updates for internally identified security vulnerabilities, which is a stance that few other software vendors takeApple应该实现其他操作系统采用的一些安全防御,例如地址空间布局随机化和其他堆栈和堆保护我认为Apple应该提供在第一次运行时创建管理员和非管理员帐户的选项,以及更容易将密码存储在非登录密钥链中。