V polovině března se v kanadském Vancouveru konal v pořadí už sedmnáctý ročník bezpečnostní konference CanSecWest. Posledních deset let je jeho nedílnou součástí také třídenní soutěžní klání Pwn2Own, ve kterém týmy hackerů bojují o to, který využije doposud neznámé zranitelnosti (tzv. zero-day) k průniku do některého z populárních programů. Pokud se zadaří, mohou se těšit na tučnou odměnu v řádu desítek tisíc dolarů.
Edge se měl očistit od špatné pověsti IE, hackeři ale předvedli pravý opak
Cílem útoků Pwn2Own 2017 byly především webové prohlížeče Chrome, Firefox, Safari a nakonec ještě stále docela nováček na scéně – Edge od Microsoftu, který na Windows 10 nahrazuje stárnoucí Internet Explorer.
Edge měl udělat tlustou čáru za špatnou pověstí MSIE, takže jeho tvůrci v mnoha ohledech začali na zelené louce a vytvořili nové jádro, které podporuje nejen HTML5, ale mělo by být i mnohem bezpečnější než jeho předchůdce.
Chyby v MS Edge a Chromu. Z hlediska počtu objevených chyb za daný rok mezi nimi není velký rozdíl, ale v praktickém útočení je údajně Edge snazší cíl.
Na podobných setkáních bezpečnostních specialistů se ale ukazuje něco jiného. Edge je totiž při srovnání s konkurencí spíše na chvostu než na vrcholu. Podle statistik CVE Details, které evidují počty hlášených chyb, sice Edge nevybočuje z průměru (v roce 2016 evidováno 135 zranitelností, zatímco v případě Chromu jich bylo 172) a je na tom docela dobře, nicméně v praxi se do něj hackeři prolomí úspěšněji než do aktuální tržní jedničky od Googlu.
Edge už je docela dobře použitelný prohlížeč, zkuste mu dát šanci
Den první a průšvih pro Redmond
Plyne to z i výsledků Pwn2Own. Zatímco na loňském klání nejhůře dopadlo jablečné Safari, tentokrát to na celé čáře projel právě Edge, a od nejednoho technického média už dostal nelichotivou nálepku nejděravějšího prohlížeče na scéně, které se asi jen tak nezbaví.
Nešťastná spirála začala hned první den soutěžního klání, kdy Team Ether (Tencent Security) zneužil chybu v javascriptovém jádře Chakra k tomu, aby se dostal z pískoviště a napáchal potenciální škodu na počítači oběti. Pískoviště – sandbox – je technika, pomocí které jsou nejrůznější procesy izolované od svého okolí.
Typickým případem je zrovna webová stránka v prohlížeči. V ideálním případě má žít pouze ve svém vlastním vesmíru načtená uvnitř prohlížeče a nesmí například sama ukládat data kamsi do souborového systému PC. Kdyby tu taková bezpečnostní politika chyběla, kdejaký zákeřný web by bez vědomí surfaře uložil kamsi na céčko třeba malware.
Veškerý kód uzavřený v pískovišti může s okolím komunikovat pouze skrze omezené rozhraní, tedy API, díky kterému se webový kód dostane třeba k obrazu webkamery, ale uživatel o tom vždycky ví.
V každém případě, Team Ether si za tento kousek připočítal drahocenných 10 bodů v celkovém pořadí a dostal tučnou odměnu ve výši 80 tisíc dolarů. Být hodným, tzv. white-hat hackerem se prostě vyplatí. FInanční odměna má zároveň hackery motivovat k tomu, aby výsledky svého bádání zveřejnili a nenechávali si je pro sebe (nebo třeba NSA, šedou zónu internetu aj.).
Během prvního dne se pokoušeli na Edge zaútočit i další specialisté, nicméně si vylámali zuby, Microsoft totiž mezitím jejich zranitelnosti opravil, takže se jim útok nepovedl.
Druhý den byl ještě horší
Vývojáři Edge každopádně asi neměli dobré spaní a druhý den ke všemu nedopadl o nic lépe. Nelichotivou pozici prohlížeče z Redmondu naopak ještě zhoršil.
Opět zabodoval Tencent Security, který měl na soutěži hned několik týmů. Jeho Team Lance použil techniku UAF, přičemž obětí se stala zase Chakra, skrze kterou získali hackeři vysoká práva uživatele SYSTEM. Suma sumárum, získali vrátka do nitra Windows.
UAF může být zkratkou pro ledacos včetně Ugandské atletické federace, v tomto případě se ale jedná o útok typu Use After Free, kdy se útočník snaží použít paměťové prostředky aplikace v okamžiku, kdy již měly být uvolněné. Pokud není program dostatečně ošetřený, může být jeho reakce všelijaká a to je právě ten pravý okamžik pro schopné hackery, kteří toho zneužijí.
V každém případě, Team Lance za tento úlovek získal slušné kapesné na svačinu ve výši 55 tisíc dolarů. Na stejné peníze si později přišel další Team Sniper, který úspěšně útočil na Edge a získal kvůli jeho chybám práva systémového správce.
Suma sumárum, Edge se musel během dvou dnů vypořádat s několika útoky, přičemž obstál jen jednou. Všechny ostatní byly úspěšné, a to přesto, že jeden z týmů byl nakonec diskvalifikován, protože použil techniku, která byla krátce předtím zveřejněná. Jak už jsem uvedl v úvodu, Pwn2Own není žádná soutěž pro script-kiddies a zelenáče, kteří si nainstalují Kali Linux, ale pro skutečné profesionály, kteří musí útočit pomocí doposud neznámé zbraně.
Třetí den a útok útoků
Dva dny příkoří by mohly stačit, nicméně bohužel pro Microsoft, ještě tu byl ten třetí, jenž vyvrcholil útokem útoků, který porota ohodnotila odměnou ve výši pohádkových 105 tisíc dolarů.
Tuto odměnu získal tým 360 Security za útok, který tak trochu připomíná snímek Christophera Nolana Počátek (Incepiton). Oč tedy šlo? Cílem byl opět Edge, přičemž tentokrát jej hackeři uvedli do nepříčetného stavu pomocí techniky heap overflow, který v poněkud odlišné podobě znají všichni bastlíři s Arduinem na stole, protože heap (halda) je speciální část už tak droboučké operační paměti SRAM na mikrokontrolerech, která je určená pro dynamickou alokaci, při neefektivní práci s proměnnými často dojde a mikrokontroler se pak začne chovat poněkud nepředvídatelně.
Heap overflow jakožto útok funguje trošku jinak a spoléhá spíše na to, že jedna část haldy přepíše druhou v jejím přímém sousedství – doslova do ní přeteče (overflow), a program se tak změní ve zbraň.
V tomto konkrétním případě spojil tým 360 Security vše dohromady tak elegantním způsobem, že v dokonalém souladu havaroval jak Edge, tak jádro Windows (kernel) a ke všemu VMware, protože se jednalo o virtualizovaná Windows, a útok nakonec probublal až do hostitelského operačního systému.
Stručně řečeno, útokem na internetový prohlížeč uvnitř virtualizovaného operačního systému se potenciální záškodník dostal až na cestu k ovládnutí systému, na kterém vše běží. A právě to je paralela k filmu Počátek a především je to zvednutý ukazováček všem, kteří se domnívají, že je snad virtualizace to nejdokonalejší pískoviště a virtualizovaný systém a aplikace v něm nemohou hostitelskému OS nijak ublížit. Ale kdeže.
Bezpečnost je důležitější než HTML5
Suma sumárum, Edge to v klání hackerů projel na plné čáře a dopadl ze všech prohlížečů zdaleka nejhůře, s onou deklarovanou bezpečností to tedy nebude až tak žhavé. Nejlépe naopak skončil Chrome, který tentokrát neprolomil jediný účastník Pwn2Own.
Ačkoliv tedy u webových prohlížečů nejčastěji sledujeme jejich funkční výbavu, podporu nových technologií a rychlost, bezpečnost je možná to nejdůležitější, co by nás mělo zajímat, protože ve webové prohlížeči dnes trávíme zdaleka nejvíce času a je to svým způsobem další operační systém na našem počítači.
Mela mezi prohlížeči: Webu může začít vládnout jen jediné vykreslovací jádro
