Yep, jedan mali PR gest kako bi ljudi ukapirali da je jedina zastita "common sense" ;-)

Daklem... FF+NoScript+AdBlockPlus iz limited user naloga ovde hehe ;-)

Mada, Adobe Flash je i dalje tu potencijalna velika rupa - tako da, ko moze bez njega... bilo bi bolje osloboditi ga se.

Ma ovo su ljudi koje dobro placaju kompanije koje razvijaju sigurnosni software... Oni vec znaju gde da udare... Mogu samo da zamislim ove likove iz M$ sto su prisustvovali hack-u IE-a... Mada nije to nista epohalno i nijedan browser nije 100% secured...

Treba sacekati da se vidi sta su tacno koristili kao slabost kod IE/FF.

Ako su opet koristili Adobe Flash kroz njihove idiotluke (tipa servisi koji trce sa vecim pravima), mislim da bi tu kompaniju trebalo tuziti za permanentno umanjenje sigurnosti korisnika zbog nesposobnosti i tvrdoglavosti njihovih inzenjera.

Sto se Safari-ja tice, taj browser je joke sto se sigurnosti koda tice - jedina stvar koja spasava korisnike istog je da ih ocigledno nema dovoljno za organizovani kriminal da ih cilja sa svojim exploitima.

ironicno ;)

Ivane, kako ne shvataš da plug-in ne može biti rupa na softveru koji sam nije bušan. Ako nemam Adobe plug-in, sešću, uzeću odgovarajuće razvojne alate i namerno ću napisati bušan plug-in u kućnoj radinosti za potrebe dobijanja adminstratorskih privilegija ili nemam pojma čega drugog nedozvoljenog.

Nedeljko, mislim da nisi u pravu.

Problem sa Adobe Flash-om je bio sto oni ne instaliraju sebe samo kao browser plug-in, vec takodje instaliraju i neki "helper" servis/komponentu koji trci sa visokim privilegijama i sa kojom plug-in komunicira i koristi je za nesto.

Plug-inovi sami po sebi trce u izvrsnom kontekstu browsera - sto znaci obicno pod limited user privilegijama i pod Linuxom i pod Windows-om (Vista i noviji) - osim ako korisnik nije kreten pa namerno trci browser sa root/admin privilegijama, sto je posebna vrsta ludila..

E, sad, problem je sto ti ne mozes imbecilima zabraniti da instaliraju jos kojesta i da ti njihovi "plug-inovi" sa tim komuniciraju - takav je Adobe Flash na primer... i to je vrlo veliki sigurnosni propust.



Poenta je da uopste ne moras praviti busan plug-in - dovoljno je da napises sasvim OK plug-in koji komunicira sa nekim tvojim demonom/servisom koga ces ti nazvati "Helper Servis/Daemon" i koji trci u root privilegijama - i to ponudis kao instalaciju.

U tom slucaju, ukoliko haker uspe da provali da tvoj "helper" ima rupe, recimo u protokolu - dovoljno je da tvom plug-inu podmetne sadrzaj koji ce aktivirati taj propust, tvoj "helper" napravi unhandled exception i ostalo je... rutina za te likove ;-)

Mada opet vise verujem FF+NoScript kombinaciji :)

A ko dozvoljava tom helperu da trči sa visokim privilegijama? U tom čuču zeci grm!

O svasta, Nedeljko...

Reci mi, molim te, koji to OS sprecava izvrsavanje demona/servisa pod root privilegijama, ako korisnik to dopusti?

Jel ima neki zvanican feedback od Apleta na ovo? :)



:D

A evo i kako, mada nista detaljno:



Windows:



Prepisa covek i DEP i ASLR sa svojih mladjanih 25 godina... clap - clap.

Apple je poznat po tome da uopste ne saradjuje sa security researcherima i da ih, generalno, boli dupe za to. The Register je pisao o tome kako je jedan pokusaj njihovih inzenjera promptno cenzurisan od strane marketinskog odeljenja koje u Apple-u ima garantovano pravo veta na bilo kakvu komunikaciju... Mislim da to govori dosta o prioritetima te firme ;-)

Safari je oduvek bio busna kesa i evo, iz godine u godinu, ga buse prvog - a sada i sa godinu dana starim exploitima. Cak i oni iPhone jailbreak-ovi su se cesto bazirali na Safari rupetinama.

Na svu srecu, pa mnogi korisnici Apple masina koriste Firefox.



Bice da je u pitanju 32-bitna verzija, gde je glupi Microsoft ostavio mogucnost gasenja DEP-a... svaka im cast. I to sve zbog "backwards compatibility" umesto da kazu lepo, od danas - gay aplikacije koje koriste prljave trikove svojstvene virusima... ne rade i tacka.

Nisu imali m00da ni Windows 7 da ne izdaju u 32-bitnoj verziji, iako su najavljivali to ranije... E, pa ako - neka se sad blamiraju, to ce jako da im prija.

Doduse, postoji mogucnost da se i 32-bitna verzija Windowsa obezbedi tako da DEP ne moze softverski da se ugasi nikako, ali to zahteva intervenciju korisnika i nije resenje koje bih ja nazvao univerzalno primenljivim.

o kako velike reci... win32/confliker.A anyone?

kako bilo, ja nemam nikavih problema sa surfovanjem sa Safarijem ("dimkovic: za sad" ...)

PREPORUCUJEM SVIM MAC KORISNICIMA DA NABAVE VRHUNSKI ANTIVIRUS SOFTWARE - CUVENI KASPERSKY - ! (kako bi bili sigurni dok surfuju i koriste racunar )

Kaspersky Sells Mac AntiVirus Fear Using Charlie Miller… Mac AntiVirus Foe
http://www.roughlydrafted.com/...r-mac-antivirus-foe/#more-3365



i odakle ti to da Mac useri koriste FF? imas statistike gde Apple ima oko 8% trzista, a Safari ima udeo od preko 10% (ukljucujuci i PC verziju)...

elem:

Chrome only browser left standing after day one of Pwn2Own
http://arstechnica.com/securit...tanding-in-pwn2own-contest.ars

... samo steta sto Chrome ima losu EULA-u pa sve sto vidite preko webbrowsera pripada Google-u!

I kakve sad logicke veze imaju tvoji problemi - sa problemom Safarija koji je puko posle 2 sekunde sa vec ubudjalim (od starosti) exploitom? :)

Face the Facts ;)

Wow, exploitovan patchovani bug posle 4 meseca od zvanicnog patcha, to ce uci u anale security istorije definitivno... :)

Microsoft je duly patchovao taj problem i to daleko pre nego sto je neko napisao exploit (ej, 4 meseca ;-) - sto se svakako ne moze reci za Apple Safari koji je pun 0day exploita.

Hint - 0day, proveri recnik. Razlika je nebo i zemlja.



To sto ti nemas problema sa safarijem ne znaci da je isti busan kao rupa i sto ima 0day exploite koje Apple mrzi da patchuje PREKO GODINU DANA, sto je vec dokazano nebrojeni broj puta - evo i sad za 2 sekunde.



Utoliko gore po njih :) Stvarno je tuzno da je uz pomoc marketinga takav svajcarski sir moguce nazvati sigurnim browserom.

Ali to je Apple... i ne cudi, mislim kada im je uspelo da zamene IPS sa TN ekranom i da to nazovu apgrejdom koji prikazuje "milione boja"... onda sve mogu, dobro sto nisu nazvali taj Safari sigurnijim od Firefoxa ;-)

Ovo bi moglo u TOP :)

Cudi me da je trajalo i 2 sekunde, verovatno je konekcija bila neka
malo sporija (posto je napad bio remote), pa se toliko oduzilo dok se url request obradio...

Elem, ostaje to da u Safariju mozes da uzivas u najvernijem prikazu boja.
Dok ne posetis URL. Jbg.

stavio sam patch na kompove i opet sam juce dobio neku varijantu ovog sranja... :mad:

to je moja poenta. mogu da crackuju Safari koliko hoce kad ovo smece od Windowsa ima 1001 viruscinu!
e to je jedina razlika "nebo i zemlja." - virusi overrun sistem vs. virus free sistem


ko sto rekoh: ("dimkovic: za sad" ... bla, bla) - "ne znaci da je isti busan kao rupa i sto ima 0day exploite koje Apple" ... malo te je dosadno citati ...


"svajcarski sir" - 0 virusa vec celu deceniju

btw kad su zamenili IPS za TN na 20" ticama - spustili su im i cenu...

Samo bih u FF jos dodao ekstenziju FlashBlock (progledao sam kada sam ga instalirao), a sto se tice Safarija - sve je receno...

Kako da ne, kako ja ne dobijem to s*****, niko u mojoj firmi niti niko od ljudi koje licno znam a kacimo se na gomilu wireless mreza koje imaju ko zna sta... mora da mi koristimo neki specijalni Windows :-)

Fakat jeste da je taj bug patchovan 4 meseca pre pojave exploita + cak i nepatchovani XP SP2+ kompovi koji koriste default firewall konfiguraciju za externe mreze ne mogu biti izlozeni napadu, jer jednostavno blokiraju SMB port.

Sa stanovista sigurnosne polise, Microsoft je uradio sve sto treba i kako treba momentalno posle otkrivanja rupe.

E, sad, sto na netu imas piratovanih XP-a bez updater-a, XP-a bez SP2 i kojecega jos nije njihov problem. Ne zaboravi da je XP SP2 izasao jos 2003-ce godine... :)



Svajcarski sir = 2 sekunde potrebno da pukne, i to uz pomoc exploita koji Apple nije patchovao godinu dana. Porediti to sa Microsoftom koji je patchovao rupu 4 meseca pre pojave exploita je smesno.

Pricaj ti sta hoces, ali Apple-ov odnos prema sigurnosti je vise nego jadan - sto ovaj hack samo pokazuje, i to tako godinama uvek ista prica.

Malo je tako arogantnih kompanija koje uopste ne saradjuju sa sigurnosnim research-erima i koje tretiraju ovakve exploite kao sum... Microsoft je isto tako bio jedna od tih arogantnih kompanija do 2003, ali su ukapirali da to nije pametno.

Dan 2 prosao prilicno dosano

http://dvlabs.tippingpoint.com/blog/2009/03/20/pwn2own-day-2

http://blogs.zdnet.com/security/?p=2941



...




:D

I jedna zanimljivost (sa linka koji je neko ostavio prethodnim porukama):




Lepo, lepo, MS već radi na rešavanju problema..

Zavisi od toga koji je korisnik u pitanju. Ako je IE8 bio instaliran bez plaginova i razbijači su trebali da odrade poslić pod limited user privilegijama, onda ovo ne prolazi.

No sviđa mi se to što je "najsigurnije" nešto što je skoro neupotrebljivo (Chrome). Tako mogu ja da napravim još sigurniji "čitač":



Čik da neko nađe rupu u njemu. Doduše, ima drugu manu.

E a zasto nisu trazili bagove u operi?

<1% trzisnog ucesca

Istina, ali i mene bas zanima kako bi Opera istrpela ove napade.

Pa po ovome: http://www.w3schools.com/browsers/browsers_stats.asp i nije bas da se Safari koristi mnogo vise od Opere. Meni je Opera super koristim je jedno 7 godina.

EDIT: Evo sada sam pogledao i na vikipediji izgleda da si u pravu za <1%. Prosto ne mogu da verujem da 8!!! % ljudi koristi safari, kako ja ni jednog ne poznajem :)

http://en.wikipedia.org/wiki/Usage_share_of_web_browsers

takođe pričaj i ti šta hoćeš ali i dalje ostaje činjenica da za 10 godina imaš 0 virusa na tom bušnom Mac OS X-u.

...dok za Windows... da li se uopšte zna broj ?!

@the_tosic Mac korisnici koriste Safari a Mac ima oko 9% desktop tržišta.

Samo zbog market share-a.
Stvari ce se menjati..

how yes no


nadam se da će se menjati, u stvari i menjaju se - Mac ima sve veći deo market share-a

Valjda oni koji nisu culi za Firefox ;)

Hihihi ali fantasticno je koliki je RDF korisnika tih masina...

Ono razbili im browser za 2 sec, exploitom iz prosle godine - kao i svaki put na svakom hack contestu... Ali, ne, nema veze hajde da pricamo nesto off-topic, ovo se nije desilo :)

Kao sto rekoh vec par puta - Apple korisnici su definitivno nesto najlepse sto moze da se desi vendoru, takvi kupci su nesto sto zlata vredi :)

Evo sta o njima kaze autor exploita:

http://weblogs.baltimoresun.co...from_pwn2own_winner_charl.html



Hihihi - evo ga jedan na ovom forumu, totalni egzemplar.

I.. da



Ma ne... nikako - tako jedan busan sistem, ali razlog zasto nema virusa je magicni talisman Steve Jobs-a i nevidjena moc brenda koja odbija sve pisce virusa :)

Da vidimo šta kaže majstor koji je razbio Safari za par sekundi:



http://www.tomshardware.com/reviews/pwn2own-mac-hack,2254.html

Sve u svemu, takmičenje je jedna stvar, statistika druga, a normalno svakodnevno korištenje je treća stvar.

Ako vam je drago da se radujete zbog ovoga, slobodno.

Realni život i korištenje je ipak izvan ovoga.

a sta se to desilo Dimkovicu? da li ja imam neki virus na Mac-u zbog toga? ne. da li imam ikakvih drugih problema zbog toga? ne.

bla, bla, bla... ajde još malo molim te




ključna reč.

dakle do daljnjeg ko neće da se zeza sa virusima i antivirusima (koji su cesto jos dosadniji od virusa ) ima Linux ili Mac (ako mu je prvi prekomplikovan, jedino sto je drugi skuplji...)

That may be, ali tvrdnja da je Mac hardcore faca u sigurnosti (i zvanično i nezvanično), dok mu prava "snaga" leži u skrivanju iza statistike od potencijalnih napadača je uistinu patetična.

Au jbt kalimero ala si zapeo to sto ti nemas probleme kao sigurno i vecina Mac korisnika ne znaci da je Mac siguran sistem. Cak naprotiv Apple je totalno zanemario sigurnosni aspekt kao sto je to radio Microsoft do pre par godina. Trenutno nemaju previse problema zbog toga sto ne znaci da ih nece imati u buducnosti ukoliko se prosire jos vise i postanu zanimljiva meta.

stoji sve sto si rekao ali:

nisam ja kriv što ste se vi uhvatili za to da je Mac OS X razbijen za dve sekunde (sa prethodno spremljenim exploitom, ali nema veze, naslov vesti lepse zvuci kad se napise "Mac razbijen za dve sekunde" )

ali takodje ostaje i cinjenica da za 9 godina na Mac OS X-u nema ni jednog virusa.
ne zaboravite da je 90tih godina udeo Mac-a bio isti kao i danas ali tada su, za razliku od danas, postojali virusi za isti

a ta prica "sto ne znaci da ih nece imati u buducnosti ukoliko se prosire jos vise i postanu zanimljiva meta" se vrti vec 5-6 godina unazad (od kako su virusi na PCju počeli da niču ko počurke posle kiše)...

jeste nesigurniji, to niko ni ne poriče ali isto tako je bilo i prošle godine... meni je neverovatno da ceo internet bruji o tome da je Mac bušan ali još uvek niko nije napisao ni jedan virus za Mac. mislim ako planira da ga napiše bolje da požuri dok je Mac još uvek ovako bušan

btw i sam sam pisao, kada se pojavila vest o onom trojancu u Adobe CS4 cracku, da Mac OS X nema uključeno potpisivanje aplikacija - postoji u OS-u... a slicna je situacija i sa ostalim mehanizmima - dakle cela ova priča je ŠBBKBB.

Apple suxxx

Pa i za ostale OS-eve i browsere je exploit "prethodno spremljen" - sta si mislio
da izmisljaju exploit i pisu kod na licu mesta? :D
Pa cak i za te likove je trazenje ovakvih propusta naporno fizikalisanje, i to nije
nesto sto sednes 2 minute i nadjes negde propust (ok, to njima verovatno nije
napor vec zadovoljstvo da gledaju kojekakve memory dumpove po ceo dan).
A kad ga nadjes, a onda cutis ko zaliven do takmicenja i to je to, pokupis pare.

Vidimo se u istoj temi naredne godine ;)
(mozda Stevica nesto poradi na sigurnosti svog produkta)

koliko sam shvatio glavna razlika je u postojanju ASLR-a - on zakomplikuje dodatno koriscenje unapred smisljenog exploita- Mac OS ga nema, Windows ga ima (gde Windows i pored ASLR poklekne).

mada ista prica je bila i prosle godine... - http://pcworld.about.com/od/on...rity-geeks-say-Leopard-nee.htm

valjda ce ga dodati u Snow Leopardu... do sledece godine

Joj, a ja se taman ponadao da su poceli da sredjuju pukotine u softveru
kada sam krenuo da citam tekst, kad ono... pukotine u plastici :D

Vredi svaki dinar... :)

so pa sta?

bitno je da priznaju gresku i da produze garanciju na 3+ godine kao sto su uradili vec milion puta do sad (manje-vise svaki put kad zajebu nesto)...

Zato su sada macovi iz komada aluminijuma

mali OF

vidite cega se doticni Charlie Miller (ovaj koji je osvojio pwn2own) dosetio
http://lists.immunitysec.com/p...ilydave/2009-April/005654.html


hahahahah , i on sebe naziva hakerom :)

Jel to u fazonu "Plati da ti kazem gde si busan?" :D

otprilike , s tim sto je vise kao "znam da ste busni , ako mi ne platite necu da vam kazem"

neka kapitalisticko komunisticka kombinacija ...

vidi li neko vezu izmedju ova dva :))

Znaci na mac-ovima nije hardware dobar, jer puca plastika, i mora apple da produzava garanciju.... i onda software je busan... 2s? pa sta ce ti virus pored toga?

A sta je onda dobro? Pozadi ona jabucica sto svetli? Devojcice to vole? Ili decaci? :))

Onda hoces da odigras igricu...i ne radi.. Pa kazes.. to je isto kao na Linuxu... pa se setis... "cekaj.. linux je dzabe (as in beer)... a ovo nije"... onda treba da platis windowse da bi mogao da igras igricu, i onaj boot camp ili kako se vec zove... i dobio si obican PC iz plastike koja puca, i koju si jako preplatio. Ali nekima izgleda se isplati zbok jabucice pozadi :))

Ja ostajem na thinkpadu... lep, klasican crn, nema ogrebotina, magnezijumski kavez... i linux radi na njemu k'o majka :)

-------------------------------

e a ontopic :)
No more free bugs? pa naravno... Ali opet to jeste neka vrsta blackmailinga.. tipa "Daj mi pare, pa imas vreme da zakrpis, ako ne, videce svi drugi pre tebe, i imat ces veliko sr**je kad neko napravi nov veliki ddosnet sa 0day explotiom". Ali opet... za toliko mali market share se ne isplati :)

Naravno overpriced kutija sa jabucicom pozadi, za 2s + pare + pare od applea da im kaze kako je to uradio,.. to je nesto sasvim drugo, i malo isplativije (pogotvu imati nesto takvo u CV-u kad trazis posao recimo security experta)

ma cela ta ideja je van pameti

pritom chaki nije mislio samo na apple , vec na sve vece softverske kuce , oce da osnuju neki fond iz kog bi
dobijali pare za bagove ...

kretenizam

mislim , iDEFENSE i ZDI vec godinama otkupljuju bagove i eksploite , i to za fine parice :)
i to legalno
za lepe stvarcice , underground daje i mnogo vise :)
a moralna dilema i nije neka , posto iDEFENSE svoje exploite dalje daje vladi i sl
za njihova spijuniranja ili sta sve ne ...

ovaj chakijev potez me je jako razocarao , lik definitivno ima talenta , ali je izgleda poceo da ga interesuje samo novac

a pwn2own, razbijanje za dve sekunde ?
hahah , sumnjam da nije bar mesec dana proveo pisuci taj eksploit da bude pouzdan i da radi u svakoj sitruaciji

s druge strane, mac i nema neke zastite koje bi u mnogome doprinele nepouzdanom exploitu .... :)
(cisto dolivam ulje na vatru :) )

Ista ideja kada sam nabavljao lap... Vostro 1310...



Mozda voli da se kladi na kucice... ;-)

pa ovo ni sam Steve Balmer ne bi bolje rekao!

"Apple gained about one point, but now I think the tide has really turned back the other direction," Ballmer said, via webcast. "The economy is helpful. Paying an extra $500 for a computer in this environment -- same piece of hardware -- paying $500 more to get a logo on it? I think that's a more challenging proposition for the average person than it used to be."

http://www.techflash.com/micro..._computer_market_41492832.html

Joj, sad ce jos malo digimoni i pokemoni da se udruze i da smazu jabuku za dorucak... Samo da se dogovore jos koliko procenata kome pripada, ako cemo po market share-u onda pokemonu ide 2%, taman za onaj ugriz na logou :D

pri3rak: vidi li neko vezu izmedju ova dva :))[/quote]

Lepo im naplatiš na početku skuplje tobože neki Apple kvalitet, a posle jasno da od tog nema ništa, kako čovek sam reče - milion puta do sada..

A onda se tu nađe i Windows na tom Macu, pa i Gejts uzme svoj deo LOL


Mac vlasnika prvo dobro naguzi Džobs, a onda, na zahtev korisnika, mu se pridruži i Gejts.. Može može, customer satisfaction na prvom mestu. Oćete i Stalmana (čitaj: možemo i Linux da vam prodamo za $100 po komadu)? :)

pa budući da su mi zamenili ploču na starom eMac-u iz 2005. ja sam više nego zadovoljan

Cuj mac korisnici su poznati kao ljudi koji vole da budu odrani :), jer pobogu u sve se sumnja samo u religiju se veruje :)

a vidim degojs ima i fanove...

svaka čast degojs!