Ingebouwde beschermingslagen van Internet Explorer, Chrome, Windows 7 en 8, Java zijn gevallen voor de uiteenlopende hackers die meedoen aan kraakwedstrijd Pwn2Own. Daarnaast is ook browser Firefox van Mozilla voor de bijl gegaan. De succesvolle krakers slepen hiermee veel prijzengeld in de wacht.

Hoofd- en poedelprijzen

De uitgeloofde - en ook uitgekeerde - premies lopen uiteen van 100.000 dollar tot slechts 20.000 dollar. De hoofdprijs is twee keer uitgeloofd: voor Chrome op Windows 7, en voor IE10 op Windows 8. De poedelprijs geldt voor het succesvol kraken van het veelgeplaagde Java als browser plug-in voor IE9 op Windows 7.

Er tussenin zit de 60.000 dollar voor de Firefox-pwn, wat als mindere uitdaging wordt gezien. Deze open source-browser is namelijk ingeschat als minder goed beveiligd, schrijft beveiligingsblog Security.nl, omdat het geen sandbox heeft. Toch zijn de gewonnen prijzen geen winst voor de winnaars. Ondanks het wederom succesvol doorbreken van beveiligingsmaatregelen gaat er veel werk in zitten.

Meer maanden werk

Het kraken kost ook telkens steeds meer werk, blogt de Russische securityleverancier Kaspersky. “De Pwn2Own-wedstrijd is in de loop der jaren op vele manieren geëvolueerd. Van nieuwe regels tot nieuwe doelwitten tot grotere prijzen. Maar wat misschien het meest is veranderd, is dat de security-onderzoekers die elk jaar komen en hopen naar huis te gaan met een tas vol geld meer en meer tijd moeten besteden aan het vinden en exploiteren van kwetsbaarheden."

Die toenemende inspanning wordt tegenover Kaspersky's blog Threat Post bevestigd door securitybedrijf Vupen, dat op Pwn2Own dit jaar de grote winnaar is met meerdere hacks. Het onderzoeksteam van die Franse firma heeft maanden gespendeerd aan het vinden van de gaten die succesvol zijn ingezet in de hackwedstrijd. Voor dergelijk gebruik hebben de diverse deelnemende hackers in de aanloop naar Pwn2Own natuurlijk ook nog de exploits moeten schrijven die de ontdekte kwetsbaarheden benutten.

Random geheugen en zandbakken

De grotere moeite is mede te danken aan de diverse lagen aan beveiligingsmiddelen die zijn ingebouwd in besturingssystemen en in de daarop draaiende applicaties. Zo heeft Microsoft sinds 2006 random geheugengebruik (ASLR) doorgevoerd in Windows (Vista toen nog). Apple heeft in 2011 zijn ASLR-implementatie in Mac OS X opgeschroefd, met toen voor versie 10.7 (Lion) ook de mogelijkheid om applicaties in een geïsoleerde omgeving (sandbox) te draaien. Mobiel besturingssysteem Android heeft sinds versie 4.0 (van eind 2011) ASLR, maar deed al aan sandboxing.

Hackers - of dat nou security-onderzoekers zijn of malwaremakers - moeten dan ook meerdere gaten achter elkaar gebruiken om echt door te breken. Eerst een gat om te ontsnappen uit de sandbox waarin bijvoorbeeld een webpagina of een webbrowser draait. Daarna eventueel nog een kwetsbaarheid om tussenliggende maatregelen, zoals ASLR, te omzeilen. En uiteindelijk dan een zwakke plek in de doelapplicatie of systeemcomponent benutten om een computer te pwnen. Die laatste stap leidt tot het uitvoeren van eigen code op het systeem van het slachtoffer.

Cybercriminelen willen malware uitvoeren op computers van anderen, security-onderzoekers roepen in de regel Windows' rekenmachine aan: Klik voor groot Bron: MWR Labs op Pwn2Own 2013, via The Hacker News. De malwarewereld is eigenlijk gewoon een bedrijfssector; met vraag, aanbod, concurrentie, prijsdalingen, en kosten/baten-analyses. Voor gaten, exploits en ook patches. Lees verder op pagina 2.

Veel tijd en moeite voor een eindresultaat dat op de valreep van een wedstrijd 'gesaboteerd' kan worden door de nieuwste patches. Zoals de lading die Google heeft uitgebracht voor zijn Chrome-browser, net twee dagen voor de aanvang van Pwn2Own. Overigens kan een softwaremaker ook maanden werk hebben aan die updates. Dat is niet alleen voor het daadwerkelijke ontwikkelwerk, maar vooral voor het vereiste testwerk. Een haastig gemaakte patch kan nieuwe kwetsbaarheden met zich meebrengen. Of kan gerelateerde gaten openlaten.

De waarde van gaten

Natuurlijk kan de beloning in de criminele onderwereld voor beveiligingsgaten vele malen groter zijn dan wat een openlijke hackwedstrijd als die van HP's TippingPoint oplevert. Maar dan nog is de benodigde inspanning steeds groter.

Vupen zegt tegen Kaspersky's Threat Post-blog dat het hogere prijzengeld van Pwn2Own het deels de moeite waard maken. Anderzijds heeft het Franse bedrijf naar eigen zeggen nog andere gaten en hacktechnieken in huis. Die middelen maakt het omstreden bedrijf te gelde door ze te verkopen aan zijn overheidsklanten.

Een pc pakken via Flash was bij Pwn2Own dit jaar flink complex:

De waarde van gloednieuwe, voorheen onbekende gaten (zogeheten 0-days) moet hierbij echter niet overschat worden. Oude gaten gaan jarenlang mee, afhankelijk van het doelwit. Terwijl Google zijn Chrome automatisch patcht, geldt dat niet voor vele andere doelwitten.

Soms zijn er wel auto-updatemogelijkheden, maar worden die geblokkeerd door beheerders om bijvoorbeeld compatibiliteitsredenen. Soms vereist software handmatige controle op updates en installatie daarvan. Hierdoor zit de wereld in de praktijk vol met gaten, nog los van 0-days.

Moeilijker

Die laatste soort gaten wordt nu steeds kostbaarder. “We hebben er veel over nagedacht of we dit jaar wilden meedoen, omdat de kosten voor het maken een betrouwbare exploit erg hoog worden. We hebben meerdere weken besteed aan het vinden van de kwetsbaarheid in IE10, en toen nog enkele weken meer om een betrouwbare exploit te schrijven", vertelt Vupen-ceo Chaouki Bekrar. “Zelfs de prijzen op Pwn2Own dekken die kosten niet. Maar we hebben andere technieken."

Toch wordt het werk moeilijker, geeft Bekrar aan. De grote browsers en ook de plug-ins daarvoor, zoals Flash, zijn steeds beter beschermd. “Java is heel makkelijk omdat er geen sandbox is. Flash is iets heel anders, en wordt nu voortdurend geüpdatet." Adobe heeft volgens hem goed werk verricht om Flash beter te beveiligen. Die voorheen veelgekraakte plug-in is voorzien van een eigen sandbox, draaiend binnen de diverse browsers.

Doelwit 2013: Java

Java heeft van zichzelf wel sandboxing ingebouwd, maar niet of niet afdoende toegepast voor de plug-in die draait in webbrowsers. Het is volgens de Vupen-ceo nu duurder om een Flash-exploit te maken dan eentje voor Java. Hij ziet dat cybercriminelen hun werkterrein verleggen naar die plug-in van Oracle. Terwijl Bekrar het security-team van Google aanprijst voor de sandboxing in Chrome voorspelt hij dat een dergelijke isolatie Java niet zal helpen.

“Ik denk dat Java een redesign nodig heeft. De codebasis is te groot. Het toevoegen van een sandbox in de browser [voor Java als plug-in - red.] zal niets veranderen." De onderliggende code van die door Sun ontwikkelde software bevat teveel complexiteit en dus mogelijkheden voor misbruik, luidt zijn conclusie. Een nu net ontdekt probleem dat die sombere prognose staaft, is het feit dat Java geen goede controle blijkt uit te voeren op certificaten.

Die keuring voor de digitale ondertekening van Java-applets is onlangs ingevoerd door Java-maker Oracle ter verbetering van de beveiliging. Maar valse of gestolen certificaten komen gewoon door die controle, ook als ze officieel zijn ingetrokken. Naast een betere sandboxing lijkt er dus meer werk voor de boeg om Java te verdedigen tegen wat eerder Windows, , Internet Explorer, Flash, Adobe Reader en andere populaire hackdoelwitten is overkomen.