Pwn2own - lekken in serie

De jaarlijks terugkerende Pwn2Own - tijdens de CanSecWest in Vancouver - is waar de jongste besturingssystemen en bekende browsers hun kraakvastheid bewijzen, of voor deskundig publiek ten onder gaan.

Apple nam de wedstrijd dit jaar bijzonder serieus. Op de eerste dag van Pwn2Own (9 maart) verschenen nieuwe versies van Safari en iOS; alleen al in de browser werden 62 gaten gedicht. Maar de spelregels waren anders dan vorige jaren. Deelnemers konden de laptop of smartphone winnen - 'pwn to own,' kraak en wordt eigenaar - door de versie van vorige week te verslaan.

Alleen de geldprijzen van 15.000 dollar waren verbonden aan de meest actuele versie. Hoe dan ook een forse handicap voor de hackers. Want de voorbereiding van een kraak kost toch meer dan een week?

Dag één van de wedstrijd. Safari 5.0.3 was het eerst aan de beurt, draaiend op Mac OS X 10.6.6. Vijf seconden nadat Safari een speciaal geprepareerde webpagina op het scherm had gezet kon de Franse ict-beveiliger Vupen willekeurige software starten en bestanden op de harde schijf van de MacBook Air zetten. Pwning volbracht. Ook de geldprijs werd gescoord, want ondanks de tientallen patches bleek Safari 5.0.4 net zomin bestand tegen de Franse aanval. Na afloop vertelde Vupens Chaouki Bekrar dat een team van drie onderzoekers twee weken aan de kraak had gewerkt.

Safari gevallen, IE volgt

Internet Explorer 8 was de volgende, draaiend op 64-bit Windows 7 SP1, bijgewerkt tot de laatste patch. Onderzoeker Stephen Fewer (Harmony Security) brak schijnbaar moeiteloos door alle beveiliging, terwijl dit toch een taaie klus had moeten zijn.

W7 verdedigt zich met DEP (data execution prevention) tegen code die naar binnen wordt gesmokkeld als data, en met ASLR (address space layout randomization) tegen aanvallers die aanknopingspunten zoeken in de dll's, stack en heap van een systeem. Bovendien draaide IE op het lage integriteitsniveau, zodat een aanvaller die alleen de rechten van de browser erft niet voldoende toegang heeft tot de harde schijf om een volledige pwn te scoren.

Fewer maakte gebruik van drie nieuw ontdekte lekken in serie. De tijd die hij nodig had om ze te vinden en er een aanval op te baseren: zes weken. Maar hij deed het alleen, en drie maal twee is ook zes. IE en W7 hielden dus ruwweg even goed of slecht stand als Safari en OS X.

iPhone en Blackberry

Google had een extra prijs van 20.000 dollar op het eigen hoofd gezet. Reden genoeg voor serieus hackwerk. Maar de twee voor dit onderdeel ingeschreven deelnemers lieten het afweten. Zo bleef Chrome voor het derde jaar op rij overeind. Ook Firefox werd dit keer niet gepwned, en op dag twee bleven in de mobiele hoek Android en Windows Phone 7 ongeslagen.

Maar de iPhone 4 en Blackberry Torch 9800 vonden wel nieuwe eigenaars. Charlie Miller ging in de afgelopen jaren altijd met iets van Apple naar huis; dit keer exploiteerde hij samen met Dion Blazakis een lek in Mobile Safari.

ROP

Interessant is vooral de methode die Miller gebruikte om de DEP van de iPhone te omzeilen. Moderne software stelt zichzelf op het moment van starten voor een groot deel samen uit functies aangeboden door bibliotheken zoals de dll's van Windows. In ROP (return-oriented programming) bestaat de software uitsluitend uit handig aan elkaar geknoopte delen van zulke functies - alles wat er draait is om te beginnen in het systeem aanwezig, zodat DEP er geen vat op kan hebben.

De iPhone draaide iOS 4.2.1, zoals toegestaan omdat 4.3 pas verscheen op de dag van de wedstrijd. iOS 4.3 is voorlopig bestand tegen ROP dankzij ASLR.

Veiliger?

Charlie Miller had in 2007 geen enkele moeite met de iPhone: 'Het was heel, heel makkelijk.' In 2009 zorgde DEP voor wat meer werk, en 'Vanaf iOS 4.3 wordt het veel moeilijker,' zegt hij, 'dankzij ASLR.' Hoop doet leven.
===============================
Steven Bolt is beta-wetenschapper en expert op het gebied van robotica en it-beveiliging.