edición general
231 meneos
6077 clics
Ubuntu hackeado en la Pwn2Own 2017

Ubuntu hackeado en la Pwn2Own 2017  

Linux ha entrado en competición en la Pwn2Own 2017 representado por Ubuntu, su distribución más popular, y ha caído abatido por los cazadores de vulnerabilidades en el primer día de la conferencia debido a un fallo detectado en el kernel. Un error de desbordamiento de buffer con escritura fuera de los límites (out-of-bounds) que ha descubierto el equipo chino Chaitin Tech, y por el que han recibido un premio de 15 000 dólares. Como veis en la imagen que abre el post, para ilustrar el ataque eligieron la aplicación de […].

| etiquetas: ubuntu , hackeado , pwn2own , pwn2own 2017 , chaitin tech , linux
12»
  1. #42 Lógica elemental: se intentará romper la seguridad con más ganas a algo si te pagan 100000 que si te pagan 10000. Y si no lo consiguen, es una buena noticia. Si pagara 1000 millones de euros y no lo cinsiguiera nadie, eso hablaría muy bien de la seguridad del producto
  2. #93 Deberias haber seguido leyendo. El priblema no es xcalc, es el kernel. Si una aplicación de usuario te permite subir privilegios, el problema no es la aplicación.
  3. #101 Pues depende de quién y que motivos tenga, por ejemplo puede ser alguien que no esté interesado en el dinero y lo haga por otros motivos. Sin ir más lejos un matemático no quiso recibir el millón de dólares de un premio por un hito conseguido por él: techland.time.com/2011/05/03/math-genius-solves-100-year-old-problem-t

    Pueden existir similitudes entre las motivaciones del hacking y los investigadores en matemáticas.

    Por otro lado existe también un mercado negro de compra/venta de errores de seguridad, habría que analizar las dinámicas económicas de ese ámbito ya que podrían dejar en ridículo las cuantías de los premios que se pretenden usar como baremo.

    A todo ello hay que añadir que existen organismos gubernamentales que sacan provecho de vulnerabilidades de software, de nuevo ese ámbito es opaco y difícilmente se podrán obtener conclusiones sobre la seguridad de los productos de ese ámbito.

    La lógica elemental nos indica que es un entorno excesivamente complejo como para simplificarlo a los premios que una empresa en concreto decida donar para un concurso específico haciendo publicidad de su marca.
  4. #95 IMHO Android es Linux, que corras una interfaz gráfica u otra, uses el runtime de java, mono o las apps corran en Python no va a cambiar que el sistema operativo sea Linux.
    Si a un burro le pones una capa de lana, sigue siendo un burro y no una oveja.
  5. Ayy Chaitiiiinn..
  6. #81 venga, vamos a decir cuñadeces, que es gratis.

    Una empresa de EDA, que tiene los servidores en un cluster al 100% de uso de CPU casi todo el tiempo, lo mejor es que virtualice. Eres un genio. Y, por supuesto, para hacer simulaciones con miles de millones de transistores o compilar programas con millones de líneas de código no hacen falta tantos servidores. Se puede hacer en el PC de torre de casa. :palm:
  7. #103 Y a pesar de todo, si no consiguen romper la seguridad de algo habiendo un buen premio por el medio, algo quiere decir.

    Y si lo consiguen, también.
  8. #107 ¿Es un buen premio? ¿En comparación con qué?

    Si consigues romper esa seguridad y te dan, no sé, 100 veces más en el mercado negro ¿sigue siendo un buen premio?

    O si te prefieres presentarte a la empresa, organización o comunidad con ese descubrimiento para que te acepten en su equipo, con sueldo o no, ¿sigue siendo un buen premio?

    Y en cualquier caso, ¿acceden a ese concurso todos los aspirantes capaces de conseguirlo? ¿o solo un pequeño segmento de ellos cada cual con sus motivos? (ya que mides el éxito o fracaso en función de los concursantes)

    Si lo mides únicamente en términos de premios ¿iOS es 8 veces más seguro que Apache en tanto que el premio es 1,5 millones de euros?

    www.eweek.com/security/top-ios-bug-bounty-award-hits-1.5m

    Lo mires por donde lo mires usar los criterios de una única empresa hace aguas como baremo para medir la seguridad a escala planetaria.
  9. #108 Si te dedicas a vender exploits en el mercado negro, no te presentas al concurso. Todos los fallos serán parcheados. Para eso se hace.

    Pero hay gente que no se dedica a eso y sí va a estos concursos. Son un buen aliciente para los que no son delincuentes.

    Un concurso de seguridad no es ningún criterio de seguridad de ningún tipo. Es simplemente un test de seguridad a productos. El pentesting es imprescindible, y estos concursos son una idea excelente.
  10. #5 Ubuntu Server es usada en al menos un 13% de los sitios web (1) . Esto la convierte en la más usada de las distros linux como servidor web, seguida muy de cerca por debian y luego CentOs. Estos datos son relativos ya que hay un 43% de servidores web tipo Unix que eligen ocultar su sistema operativo.

    En pwn2own-2017 la distro linux para servidor era una Ubuntu Server con Apache (premio 200.000$) que no se consiguió hackear como servidor. Si hubiesen tenido acceso a shell si, ya que el bug de escalada de privilegios de Linux le afecta.

    Ubuntu Server es una distro relativamente bastante segura como servidor, con la diferencia de que incluye paquetes mas nuevos que CentOS/RedHat. Eso hace a RedHat/CentOS más seguras por tener repositorios más probados, pero por otro lado es más agradable (y seguro) usar Ubuntu Server cuando quieres añadir software más novedoso del que necesitas versiones recientes que no incluye CentOs. Es cuestión de saber elegir lo más adecuado a tu proyecto. Ubuntu Server suele ser buena elección.

    (1) w3techs.com/technologies/details/os-ubuntu/all/all
    (2) w3techs.com/technologies/details/os-unix/all/all
  11. #69 Hombre, es que hay ciertos personajes que cuando las partes que no son Linux de Android dan problemas lo primero que hacen es lanzar mierda al software libre en general, ahi está la hipocresía, no la busques en los demás.
  12. #34 ¿Me puedes presentar una estadística que demuestre que no eres un simple troll?
  13. #112 Aquí tienes los datos en bruto de donde puedes sacar las estadísticas que consideres oportunas: www.meneame.net/user/sorrillo/commented
  14. Como si algún linuxero hubiese dicho que es IMPOSIBLE hackearlo. Cuando arreglen el fallo de seguridad, en cuestión de días o incluso horas no veremos a los haters diciendo mierda.
  15. #111 Me reservo el derecho a buscar la hipocresía en todas partes, como por ejemplo cuando Firefox era recomendado por su seguridad en contraposición a los navegadores que eran mucho más usados que éste.

    Hasta que su uso dejó de ser residual.
  16. #115 Lo llevo usando desde que salió y nunca he tenido ningún problema de seguridad. Si tu consideras un fallo de Firefox el hecho de que la gente, al instalar porquería en su ordenador, o al entrar en páginas de dudosa reputación, quieran instalar extensiones basura en su navegador es que no entiendes el concepto de la seguridad.
    Más que "derecho a buscar la hipocresía" pareces aplicar el derecho a ser un cansino.
  17. #116 Lo llevo usando desde que salió y nunca he tenido ningún problema de seguridad.

    La seguridad de un producto de uso planetario no puede juzgarse en base a una anécdota personal, a parte que el hecho que creas no haber tenido nunca ningún problema de seguridad tampoco es indicativo de que no lo hayas sufrido, ya que parte importante de la mayoría de ataques es pasar desapercibidos para la víctima.

    Es triste que haya que explicar aspectos tan básicos en una discusión que trata sobre seguridad.

    Si tu consideras un fallo de Firefox el hecho de que la gente, al instalar porquería en su ordenador, o al entrar en páginas de dudosa reputación, quieran instalar extensiones basura en su navegador es que no entiendes el concepto de la seguridad.

    El mismo argumento he escuchado a los que defienden que Internet Explorer no ha tenido nunca ningún problema de seguridad, que el problema era de los usuarios que lo usaban mal.
  18. #106 cuñadeces ninguna.

    Servidor físico por usuario, es lo que tu dijiste. Y si eso es un derroche.

    Y un cluster funcionando al 100% todo el tiempo? Donde están los margenes de crecimiento? Redundancia ? Porque como falle algo estas jodido. Si es un cluster EDA lo que te limita son los IOPS a menos que te montes un ramdisk.

    Hay cosas que como dije antes y no has leído, has pasado directamente a llamarme cuñado, se ejecutan directamente, como dije un MySQL o Oracle debe correr en físico, es muy mala idea virtualizarlo a menos que tengas una BBDD de mierda.

    Antes de llamar cuñado a alguien lee bien el comentario, o mira si te expresaste mal.

    Ah, y por si no lo sabias, si se puede virtualizar un cluster, pero repito, virtualizar BBDD o almacenamiento me parece una mala idea.
  19. #118 no entiendo una palabra de lo que dices.

    ¿Por qué deduces que no hay márgenes de crecimiento? ¿Por qué dices que no hay redundancia? ¿Por qué dices que como falle algo estás jodido? ¿Cómo falle el qué? ¿Por qué te limita eso y qué tiene que ver que sea para EDA o no, si en EDA, dependiendo de lo que hagas tienes unas limitaciones u otras?

    Virtualizar un clúster como el de mi empresa es una gilipollez suprema, pero bueno, tú sigue hablando sin saber y haciendo deducciones de la nada que no entiendo en modod alguno.
  20. #104 Linux no es un sistema operativo en sí, es el núcleo. Android es el sistema operativo en ese caso.
  21. #85 Menuda generalización más absurda.

    "Windows XP es, en 2017, un coladero de virus" ergo "Windows es un coladero de virus". Creo que no hace falta que te aclare más lo absurdo de tu comentario.

    Eres la personificación de lo simple reducida a la máxima expresión.
  22. #121 Es que en esencia así es, la mayoría de la gente cuando tiene una idea de qué sistema operativo es más seguro y cual elegir no suele disponer de información objetiva y contextualizada en relación con la última versión del sistema operativo y las buenas prácticas. Lo que tiene es la fama, y efectivamente gran parte de la fama de la seguridad en Windows tiene como origen el Windows 98, Windows XP, Internet Explorer, etc.

    No tiene nada de absurdo valorar ese factor también en el debate.

    Y ciertamente para Linux es una gran suerte que la gente en general no asocie los routers domésticos como equipos Linux, ya que en cuyo caso su fama en cuanto a seguridad, repito, su fama podría sufrir un duro golpe.

    Y si te fijas en mis comentarios en la mayoría de hilos de discusión lo que reivindico son datos estadísticos al respecto, sigo esperando alguna respuesta. Y es que la ausencia de esa información objetiva tristemente nos lleva a elevar la anécdota a generalización, es una de las carencias humanas.
  23. #119 Quizá eres tu el que no sabe y el que esta diciendo gilipolleces.

    Virtualizar el cluster de tu empresa es una gilipollez, pues perfecto, eso no significa que no se pueda virtualizar ningún cluster.

    Según tu tienes la CPU al 100% todo el rato, eso en un cluster.......................no es normal, en ninguna operación continuada es normal, pero tu a lo tuyo, que me dices que realizas X calculo y se pone al 100% vale, pero que esta siempre al 100% como que no.

    Redundancia ? Si esta la CPU al 100% que tipo de redundancia tienes si falla un servidor del cluster ? O me vas a decir que tienes configurados un par de servidores en spare, como si se tratasen de HDDs.

    Mundo real >> tu empresa
  24. #122 es que nadie está hablando de generalizar en cuanto a que S.O. es más seguro, y cuando se afirma que si Linux es más seguro que Windows (p.ej.) se suele centrar en puntos objetivos comunes a los dos sistemas, como p.ej. Windows v.s. Ubuntu en las probabilidades de que un ejecutable infectado obtenga privilegios de admin con un doble click. Que la gente no compare objetivamente la seguridad de un S.O. es su problema, pero que en cierta medida si se puede generalizar, no hay duda que una app bajada de un repositorio (Ubuntu, Android...) siempre va a ser más seguro que una app bajada de cualquier web de internet (Windows) porque no todo el mundo puede reconocer cual es cada web oficial de cada app.

    Otra cosa que, si, es absurdo, es decir "como routers y móviles Android funcionan sobre versiones antiguas de Linux, Linux en general es un coladero de virus". Como decir sin más que "Windows es un coladero de virus". Esas afirmaciones sin matizar son absurdas. En cambio, no es descabellado decir "Linux tiene una cuota de mercado enorme" porque una enorme cantidad de dispositivos se basa en el kernel Linux para ejecutar su software. Aunque no haya estadísticas, que es una pena, pero la evidencia está ahí: en móviles, smart TVs, routers, servidores...

    La gente común no asocia Linux a routers dométicos porque ni siquiera conocen lo que es Linux. Y de duro golpe nada, ahí está Android con sus versiones antiguas con bien de vulnerabilidades, y no será por las pocas veces que se ha alertado a la gente del problema de sus móviles con versiones viejas de Android: ¿Han sufrido un duro golpe los móviles Android? No dicen eso las estadísticas sobre uso de S.O. móviles (de estas si hay a patadas).

    Creo que si no hay datos estadísticos es porque la mayoría de fabricantes no publican en sus especificaciones que usan software basado en Linux.
  25. #124 p.ej. Windows v.s. Ubuntu en las probabilidades de que un ejecutable infectado obtenga privilegios de admin con un doble click.

    Y en ese sentido es significativo destacar la importancia del interés que pueda tener el atacante en atacar un sistema u otro, por ejemplo en función de su popularidad, de cada a alterar las probabilidades que ese ataque ocurra. Por ello hablar de la seguridad del sistema sería erróneo, entendiendo por sistema al "sistema operativo", siendo la seguridad un conjunto de la parte técnica y factores de tipo económico y cultural.

    no hay duda que una app bajada de un repositorio (Ubuntu, Android...) siempre va a ser más seguro que una app bajada de cualquier web de internet (Windows) porque no todo el mundo puede reconocer cual es cada web oficial de cada app.

    El hecho que los usuarios descarguen aplicaciones de repositiorios de ubuntu y no tanto de repositorios de Microsoft, que los hay, es de tipo cultural y factores económicos y de estrategia de empresa. De nuevo la seguridad en este caso no estaría en el sistema operativo si no en el ámbito del sector que tiene una correlación muy significativa con el ámbito de uso del sistema y de su popularidad.

    En cuanto a bajarlo de un repositorio de Android si por ejemplo lo comparamos con el de Apple podemos ver como su nivel de seguridad es mucho menor, en este caso por aplicar políticas empresariales distintas. De nuevo, el sistema operativo no es el factor determinante.

    Y de duro golpe nada, ahí está Android con sus versiones antiguas con bien de vulnerabilidades, y no será por las pocas veces que se ha alertado a la gente del problema de sus móviles con versiones viejas de Android: ¿Han sufrido un duro golpe los móviles Android? No dicen eso las estadísticas sobre uso de S.O. móviles (de estas si hay a patadas).

    iOS se considera popularmente mucho más seguro que Android, sí ha sufrido un fuerte golpe por haberse hecho público que se han detectado múltiples aplicaciones con malware en la tienda oficial de Google. A parte de la imagen que existe en todos los teléfonos móviles en general que son herramientas usadas por los gobiernos para espiar a sus ciudadanos. Claro que han recibido muy mala publicidad, y de nuevo el hecho que no se suela asociar a nivel popular a Android con Linux (en menéame depende de por donde sople el viento) también ayuda a mantener la imagen de seguridad de Linux.

    Creo que si no hay datos estadísticos es porque la mayoría de fabricantes no publican en sus especificaciones que usan software basado en Linux.

    Y nos quedamos con la anécdota, los equívocos y las percepciones del pasado como baremo principal.
  26. #123 ¿dónde he dicho que no se pueda virtualizar ningún cluster? ¿De dónde lo sacas?

    No es normal, vale. Los servidores que se utilizan para cálculos matemáticos, simulaciones, compilaciones, etc. que están muy a menudo al 100% no son "normales" porque lo dice @Dangui. ¿Cómo son? ¿Subnormales?

    Un clúster es un sistema distribuido. Si se cae un servidor hay muchísimos más para reiniciar o continuar la tarea. En nuestro caso, si se cae un "compute server" hay unos 750 más. ¿Te parece poca redundancia?

    ¿Llevo años trabajando en esto y me vas a mostrar el "mundo real" tú?
  27. #126 Eres denso

    A ver genio, si tienes un cluster trabajando al 100% que pasa si cae un servidor?

    Pero bueno para ti la perra gorda
  28. #128 mucho criticar lo "denso" que soy, pero no tienes ni puta idea y, además, no lees.

    Te lo he dicho en mi anterior comentario: "Si se cae un servidor hay muchísimos más para reiniciar o continuar la tarea. En nuestro caso, si se cae un "compute server" hay unos 750 más".

    ¿Qué tiene que ver que la CPU esté al 100% o al 5%?
  29. #125 Bueno, el ejemplo que te ponía me iba a un aspecto concreto, que es a la hora de descargar una app, el riesgo de que te infecte en Ubuntu frente a Windows. Fuera de que Windows tenga repositorios y no se usen (si es que se puede llamar repositorio a ese engendro llamado "Tienda" de Windows) y poniéndonos en un uso de usuario básico, las posibilidades, ya no de que te infecten con un instalador, sino con un archivo de un correo, es mucho mayor en Windows (que solo tienes que aceptar una ventanita típica) que en Ubuntu (que tienes que meter la clave de administrador y eso ya mosquea más).

    En Android está claro que si comparas con iOS su seguridad flaquea, pero el simple hecho de que un móvil por norma no necesite antivirus (como si pasa con Windows) ya dice mucho de las diferencias entre sistemas en cuanto a seguridad (sin entrar en vulnerabilidades, solo con las posibilidades de que el usuario abra la puerta al virus). Pero eso no quita para que la seguridad en un sistema móvil siempre haya sido algo secundario, y eso lo dicen las ventas, la gente elige su móvil más por marca, hardware y dinero que por seguridad de su S.O.. ¿Qué la imagen de Android se ha salpicado con todos los problemas de seguridad? Pero eso no ha afectado a las ventas, si no me equivoco android en España supera el 80% de la cuota de S.O. móviles.

    En fin, que aunque no se puede negar que Linux, por toda la comunidad que tiene detrás y los importantes servicios que se le delegan, se deja entrever como uno de los sistemas más seguros, está claro que no todo dispositivo basado en Linux va a tener la seguridad de la últ. versión pero tampoco se puede valorar como un conjunto (sin actualizaciones, ningún sistema es seguro).

    Que me gustaría encontrar una gráfica del uso de Linux y sus derivados frente a otros S.O., pero no aparece por ningún lado porque los fabricantes que lo usan no lo ponen fácil para poder cuantificar esto. Pero no me quedo con una percepción del pasado, todo lo contrario, se ha tendido hacia un futuro donde los fabricantes ya no desarrollan su propio S.O. o firmware (como pasaba con los móviles antiguos, autómatas programables, etc.) para, aprovechando el abaratamiento y potencial de los SoC frente a los microcontroladores, meter un sistema reducido basado en Linux con el software necesario para hacer funcionar el hardware que se necesite.
  30. #120 Vale vale, es la manía que tengo siempre de tratar 'Linux' como S.O. cuando es 'GNU/Linux'... fallo mio :-D
12»
comentarios cerrados

menéame