18.12.2014, 10:17
Serwisy związane z IT lub "security" donoszą od ważnym odkryciu polskich badaczy z laboratorium
Sporo można też wywnioskować z opisu historii tego projektu, który nazwano SE-2014-02, zamieszczonej na stronie laboratorium
Pierwsze zgłoszenie znajduje się pod linkiem poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
...szef tego laboratorium - Adam Gowdiak - kilka dni temu opublikował informacje na temat luk wykrytych w googlowym mechanizmie deweloperskim Google App Engine (GAE). Było tego sporo (ponad 30 luk), a historię opisała m.in. Zaufana Trzecia Strona i za nią cytatCytat:Zespół Google Project Zero wziął ostatnio na cel omijanie „piaskownic” konkurencji (Internet Explorer, Safari, OS X), tymczasem nasz krajowy pogromca Javy, Adam Gowdiak, przyjrzał się piaskownicy Javy w Google App Engine. Większość dostawców podobnych platform chyba już się przekonała, że gdy ich produkty trafiają w ręce Polaka, to kończy się to nie najlepiej. Tak też było i tym razem – Gowdiak odkrył, jak sam opisuje, 22 problemy składające się na 17 metod obejścia zabezpieczeń piaskownicy, dzięki czemu uzyskał dostęp do warstwy systemowej i mógł pooglądać piaskownicę od zewnątrz (w tym plik libjavaruntime.so o rozmiarze ponad 400 MB).
Niestety jak na razie Google nie może otrzymać raportu z badań Polaka, ponieważ najwyraźniej zorientowało się, co się święci i zablokowało konto, z którego korzystał. Gowdiak prosi zatem publicznie o odblokowanie dostępu, by mógł dokończyć swoje badanie i udostępnić zebrane informacje. Może ktoś z Google pomoże?
Aktualizacja 2014-12-16
Autor badania poinformował, że Google stanęło na wysokości zadania i zgodziło się na kontynuację eksperymentów (z zastrzeżeniem ich ograniczenia do warstwy maszyny wirtualnej, bez uciekania do OS). Poza tym części ze znalezionych błędów nie udało się odtworzyć na środowisku produkcyjnym (różnice w konfiguracji), jednak nadal ucieczka z sandboxa była możliwa. Adam Gowdiak opisał historię korespondencji z Google oraz podał odpowiedzi na najczęściej pojawiające się pytania.
[Aby zobaczyć linki, zarejestruj się tutaj]
Sporo można też wywnioskować z opisu historii tego projektu, który nazwano SE-2014-02, zamieszczonej na stronie laboratorium
Cytat:SE-2014-02 Pytania i odpowiedzi
Ostatnia aktualizacja: 16-Gru-2014
Co było waszą motywacją, aby przyjrzeć się bezpieczeństwu Google App Engine (GAE) dla języka Java [1] ?
Chcieliśmy zweryfikować, czy bezpieczeństwo i prywatność użytkowników oraz ich aplikacji są odpowiednio zaimplementowane w środowisku usługi zlokalizowanej w chmurze i opartej o maszynę wirtualną Java.
Chcieliśmy również sprawdzić, czy błędy bezpieczeństwa podobne do tych odkrytych przez nas w oprogramowaniu Java SE są również obecne w kodzie innych producentów.
(...)
Jakie jest znaczenie odkrytych błędów ?
Odkryliśmy wiele błędów które umożliwiają obejście pewnych ograniczeń GAE takich jak lista dozwolonych klas JRE i/oraz całkowite przełamanie bezpieczeństwa środowiska Java VM.
Czy stwarzają one jakiekolwiek zagrożenie dla danych lub aplikacji innych użytkowników GAE ?
Nie osiągnęliśmy punktu w naszych badaniach, który umożliwiłby nam stwierdzenie, że uzyskanie dostępu do danych i aplikacji innych użytkowników GAE jest możliwe.
Czy jakiekolwiek błędy dotyczą oprogramowania Oracle Java SE ?
Większość z odkrytych błędów jest specyficzna dla środowiska GAE. Żaden z zaimplementowanych, całkowitych obejść bezpieczeństwa środowiska Java nie dotyczy oprogramowania Oracje Java. Wykorzystaliśmy jedynie jedną, nieznaną, mniej znaczącą słabość w kodzie Oracle Java w celu implementacji określonej instancji obejścia restrykcji związanej z listą zaufanych klas JRE (błąd 2).
Czy odkryte błędy charakteryzuje coś specyficznego ?
Tak. Odkryte słabości pogwałcają reguły tworzenia bezpiecznego kodu w języku programowania Java [2]. Błędy te ilustrują również bardzo znane zagrożenia bezpieczeństwa języka programowania Java [3].
Do czego atakujący mógłby wykorzystać odkryte błędy ?
Błędy te mogłyby być wykorzystane do uzyskania wielu informacji na temat warstwy bezpieczeństwa środowiska JRE oraz wewnętrznych serwisów i protokołów firmy Google. Wydaje się również, iż stanowiłyby one potencjalnie dobry punkt wyjścia do przeprowadzenia dalszych ataków ukierunkowanych na warstwę bezpieczeństwa systemu operacyjnego i serwisów RPC widocznych dla ograniczonego środowiska Java.
[Aby zobaczyć linki, zarejestruj się tutaj]
Pierwsze zgłoszenie znajduje się pod linkiem poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"