3 Lessen uit de Pwn2Own hackwedstrijd
Gepubliceerd: Vrijdag 26 maart 2010
Auteur: Tony Bradley
Deze week wordt de CanSecWest conferentie gehouden in Vancouver. De jaarlijkse hackwedstrijd Pwn2Own is onderdeel van deze conferentie, en daar kunnen beveiligingsonderzoekers laten zien hoe goed ze zijn in het hacken van volledig gepatchte systemen. Dat is een opdracht die ze elk jaar weer met verbazingwekkend gemak vervullen.
Twee onderzoekers slaagden er dit jaar in om de volledig geüpdatet iPhone 3GS binnen een paar seconden te kraken. Dat was de eerste keer dat zoiets met de iPhone 2.0 lukte. Charlie Miller, bekend doordat hij de laatste twee jaar de Macbook mee naar huis heeft genomen, slaagde daar dit jaar weer in. Drie onderzoekers omzeilden de beveiligingsmaatregelen van Microsoft om in een 64-bit Windows 7 systeem te komen. Nils deed dat via Firefox en IE, en onze eigen Peter Vreugdenhil en MemACCT deden het met Internet Explorer 8.
Les over Mac en Mac OS X
Uit deze resultaten zijn direct twee lessen te leren over beveiliging van bedrijven. De eerste is dat het gebruik van Apple hardware en software op zichzelf geen goede verdediging is. Over het algemeen neemt men aan dat Mac OS X inherent beter beveiligd is dan Windows, maar de realiteit is dat de belangrijkste reden dat Macs niet vaker worden aangevallen is dat voor criminelen het platform met 92 procent marktaandeel een veel grotere winstmarge biedt op de investeringen dan een platform met 5 procent marktaandeel
Ironisch genoeg zorgt het feit dat er geen echte malware voor de Mac bestaat ervoor dat Mac-gebruikers op een andere manier kwetsbaar worden. Ze zijn zo zeker van hun platform dat ze zich niet veel aantrekken van beveiliging. Jammer genoeg voor hen zijn phishing aanvallen en diefstal van identiteit niet aan platformen gebonden, en waardoor ze makkelijker te misbruiken zijn.
Browser is de achilleshiel
De tweede les die we uit het verloop van de wedstrijd kunnen trekken is dat de browser de nieuwe achilleshiel is van de beveiliging, ongeacht de hardware- of het softwareplatform. De iPhonehack maakte gebruik van een onbekende kwetsbaarheid in Safari. De aanval op de Macbook van Charlie Miller ging ook via Safari. En de exploit van 64-bit Windows 7 vertrouwde op een exploit van Internet Explorer 8. Die van Nils maakte gebruik van Firefox.
Van veel kanten horen we de mantra dat mensen Internet Explorer in de steek moeten laten voor 'veiliger' browsers. Een recent onderzoek spreekt dat tegen. Dat laat zien dat Internet Explorer 8 het veel beter doet bij het tegengaan van social engineered aanvallen. Daarnaast heeft het besturingssysteem waarop de browser draait een behoorlijke impact op de veiligheid van de browser.
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
