News Chrome OS gehackt und gepatcht

[fethomm]

Zwei Hacker-Wettbewerbe brachten letzte Woche drei Sicherheitslücken in Chrome OS zutage, eine davon betraf auch den Browser Chrome. Alle drei Lücken wurden mittlerweile von Google geschlossen. Den Hackern winkten bei Google Preisgelder von 2,7 Millionen US-Dollar, HP zahlte 850.000 US-Dollar Prämien aus.

Zur News: Chrome OS gehackt und gepatcht

 

[psYcho-edgE]

SO ist hacken mal sinnvoll

 

[Precide]

Pwn? Das Wort benutzt doch schon seit 5 Jahren niemand mehr.

 

[Triversity]

Er erreichte sein Ziel über eine Kette von Exploits, die in der richtigen Reihenfolge ausgeführt werden mussten. Dabei spielten Sicherheitslücken in Chromes V8-JavaScript-Engine, in Crosh, der Chrome-OS-Shell, eine Directory-Traversal-Lücke in CrosDisks, dem Programm zum Ein- und Aushängen von Dateisystemen sowie einer Lücke beim Booten des Systems eine Rolle.

Zugegeben ich versteh davon nicht allzu viel, aber hört sich nach einer beachtlichen Leistung an!
Ich finde solche Wettbewerbe jedenfalls gut, können die Leute mit entsprechendem Wissen gut Geld verdienen und legal auf sich aufmerksam machen, was ja nicht selten in einem gut bezahlten Job endet.
Weiter so!

 

[Pr0krastinat0r]

Mich würde nur interessieren, ob man die NSA-Hintertür(en) auch geschlossen hat Die Penner haben ja systematisch Softwareunternehmen bezahlt immer irgendwelche Lücken zu lassen, damit sie über diese dann Daten abzapfen können.

 

[sizeofanocean]

Pwn? Das Wort benutzt doch schon seit 5 Jahren niemand mehr.

Gut, dass du uns das hier extra mitteilst. Ich bin sicher, dass Google und HP dank deiner Courage beide Contests noch rückwirkend umbenennen wird! Was haben sie sich dabei nur gedacht? Du kannst dich wahrscheinlich schon jetzt auf die Verhandlungen um dein Einstiegsgehalt als Specialist for Public Relations einstimmen. Gratulation! Und halte uns bitte auf dem Laufenden.

Übrigens, gerade im Vorbeigehen noch mitgehört: Die 90er wollen scheinbar ihre übergroßen Forensignaturen, die sowieso niemanden interessieren, zurück! Die brauchst du dann vermutlich nicht mehr.

 

[tobi14]

Bei den Geldbeträgen die da fließen wird schon früher oder später mal mit Absicht ein paar Bugs eingebaut und dann später mit dem "Hacker" 50:50 gemacht

 

[Zeboo]

Das bringt alles nichts solange alle persönlichen Daten von Google ausgewertet oder an Dritte weitergegeben werden. Da sind diese Sicherheitslücken das kleinste Problem.

 

[Yibby]

Bei den Geldbeträgen die da fließen wird schon früher oder später mal mit Absicht ein paar Bugs eingebaut und dann später mit dem "Hacker" 50:50 gemacht

Ich würde als Hacker eher nicht alles verraten, was man rausgefunden hat um nächstes Jahr direkt nochmal zu gewinnen. Falls die Lücke bis dahin nicht entdeckt wurde ^^

 

[etking]

Es gibt wahrscheinlich noch hunderte weitere Lücken dieser Art, die noch nicht gefunden wurden oder gefunden aber nicht gemeldet wurden weil der Schwarzmarkt mehr zahlt.

 

[Randy89]

Ich glaube das hier wäre eher eine news wert:
http://www.heise.de/security/meldung/Google-hackt-Mac-OS-X-fuer-den-guten-Zweck-2141483.html
Und wenn man nur will, könnte man jedes OS knacken. Da schützt auch kein Exoten-Linux oder Exclusiv-MacosX oder wie hier grad erwähnt, LowBudget-Google OS.

 

[audioph1le]

Verdammt, ich hätte Hacker werden sollen ^^

 

[danny38448]

und wieviele Monate sitzt man dann vor dem Rechner um so eine Schwachstelle zu finden...

oder schaun die sich wirklich jede einzelne Datei an und machen reverse ingenering...und laden die dinger in nen Debugger und Hexmonitor und verändern den Code...


gibt es davon auch mal live Videos wo man sehen kann was die so für Tools zum hacken benutzen...


obwohl..wenn man jedesmal ne Million bekommt wenn man ne Schwachstelle findet...muss man ja nicht mehr normal 8 stunden malochen gehen...

 

[ugurano]

will auch ein hacker sein, und bezahlt werden für die lücken.

 

[Scythe1988]

und wer hindert dich dran?

 

[wazzup]

will auch ein hacker sein, und bezahlt werden für die lücken.

Ich wäre auch gerne Schauspieler mit 100 Mio auf dem Konto. Oder Astronaut. Oder Keksfabrikbesitzer.

Mach halt, was hindert dich dran?
Kannst auch in die USA auswandern und Kopfgeldjäger werden, dürfte vergleichbar sein vom Schwierigkeitsgrad.

Oder du bringst erstmal die Schule ordentlich zuende und machst ne Ausbildung

Zum Thema:
Für Google eine gute publicity möglichkeit, die 150.000 zahlen sie aus der Portokasse. Ich würde drauf wetten das die noch genug anderes Zeug gefunden haben was nicht veröffentlicht wurde.

Wie die Jungs sich nennen ist deren sache, der Respekt der Scene ist denen in jedem fall sicher.

 

[St3ppenWoLF]

Solche Events sind extrem interessant
Da macht Hacken wenigstens Sinn

 

[GinoBambino]

Wie funktioniert so etwas? Woher beziehen jene Hacker das Wissen, um selbst so kleine Sicherheitslücken zu finden? Ich gehe davon aus, dass die beiden Hacker keine Sicherheitsexperten sind, sondern "Hobby-Hacker". Aber dennoch ist das beachtlich.

 

[GrayFox]

und wieviele Monate sitzt man dann vor dem Rechner um so eine Schwachstelle zu finden...

oder schaun die sich wirklich jede einzelne Datei an und machen reverse ingenering...und laden die dinger in nen Debugger und Hexmonitor und verändern den Code...


gibt es davon auch mal live Videos wo man sehen kann was die so für Tools zum hacken benutzen...


obwohl..wenn man jedesmal ne Million bekommt wenn man ne Schwachstelle findet...muss man ja nicht mehr normal 8 stunden malochen gehen...

Naja also letztendlich ist das ja "nur" ReverseCodeEngineering - wenn gleich auf einem unglaublich hohem Niveau. Ich weiß nicht wie das bei ChromeOS läuft und ich weiß aber auch das viele in diesem Bereich ihre Werkzeuge selber schreiben/basteln.

Aber für diverse lokale Applikationen wird da z.B. gerne OllyDBG, IDA Pro und ähnliches genommen. Das Problem ist eben auf der einen Seite der hohe Arbeitsaufwand(insbesondere da die Unternehmen ja auch Schutzmechanismen gegen RCE in ihren Code implementieren) und zum anderen eben auch einfach die Kreativität der Leute sowie der Ehrgeiz, die Zeit, das Geld und natürlich allen voran auch einfach das Know-How was vorhanden sein muss bzw. angeeignet werden muss. Du kannst auf jeden Fall davon ausgehen, dass die Leute, die da abgesahnt haben seit vielen, vielen Jahren in dem Bereich aktiv sind und auch sehr viel Freizeit da reinstecken. SEHR VIEL. Das sind, und das ist jetzt kein Klischee, oftmals jene Leute die gerne ausgegrenzt werden weil sie eben nicht ständig feiern gehen sondern am WE lieber zuhause hängen und sich Ihrer Leidenschaft, dem Hacken, widmen. Nicht immer, aber selten ist dieser Fall in der Tat nicht.

Aber starten und anfangen kann da jeder - gibt auch 'ne extra Szene dafür die sich gegenseitig Challenges baut die man gegenseitig knacken muss. Schau einfach mal bei z.B. hackerboard.de (ja ich weiß, klischeename schlechthin...) vorbei - die haben da 'n paar echt gute Leute und bieten bei entsprechendem, eigenen Einsatz auch gute Hilfe für Einsteiger.

Alternativ kannst du auch mal bei happy-security vorbeischauen Live-Videos gibt es von sowas eher nicht - aber darüber lesen und auch selber mal rumspielen ist immer ganz nett

 

[M.B.H.]

Na toll, hätte ich auch mal hacken gelernt dann wär ich jetzt Millionär