Security Analyst
0,1
рейтинг
3 ноября 2015 в 12:50

Разработка → Эксплоит на миллион. У нас есть победитель

В продолжении этой статьи стоит упомянуть, что вчера в твиттере компании Zerodium появилась информация об успешной реализации эксплоита (представляющего из себя непривязанный джейлбрейк) для версий iOS 9.1/9.2b.

Неизвестная группа хакеров получила обещанный 1 миллион долларов за эксплоит, который (по условиям баг-баунти) должен позволять злоумышленнику удаленно устанавливать произвольное ПО на устройства под управлением iOS 9, то есть в том числе на новые iPhone 6s и iPad. Кроме того, атака должна проходить через браузеры Safari, Chrome, через текстовое или мультимедийное сообщение, bluetooth и NFC.
Dmitry K @gospodinmir
карма
7,5
рейтинг 0,1
Security Analyst
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (31)

  • +1
    Интересно, будет ли этот Xploit использован во благо для джейлбрейка 9.1?
    • +7
      Вероятно, нет. Zerodium собирает эксплоиты для продажи NSA, а не по каким-то другим причинам.
  • +3
    Стесняюсь спросить — а насколько это законно, и вообще как оно работает де-юре?
    Вроде как Зеродиум не особо скрывается. Как-то они платили авторам…
    При этом эксплоит не передается Яблокам, а ИСПОЛЬЗУЕТСЯ ДЛЯ СВОИХ ЦЕЛЕЙ И ЦЕЛЕЙ ЗАКАЗЧИКОВ.
    Как это может работать? Это типа только ментам и прочим спецназерам продают? Или как?
    • +1
      Мне вот тоже интересно, а по документам это как проходит?
      Отдали миллион капусты «лицам, пожелавшим остаться неизвестными»?

      Очень уж всё складно — на заказной «тендер» похоже. [/на правах теории заговора]
      • +1
        Лица, скорее всего, себя идентифицируют и даже налоги заплатят, но общественности никто сообщать не обязан.
      • +3
        Во внутренних документах, по опыту Hacking Team, чьи документы утекли недавно все в порядке. Вот, пример инвойса на продажу эксплойта от некоего Vitaly Toporov.
        • –4
          личные данные то закрасьте хотя бы, инсайдер
        • +2
          Т.е. с биткоинами у нас борятся, а проводить деньги за эксплоиты можно вот так через сбербанк?
          О, этот дивный новый мир, торжество «де юре» над «де факто»!
          Кстати, вроде бы при переводе из другой страны на крупную сумму должен быть паспорт сделки.
          • 0
            Биткоин угрожает банковской системе, а кому угрожают консалтинговые услуги? С которых, небось, и налоги уплачены :)
            • 0
              Слово «консалтинг» в описании платежа обычно привлекает внимание банковских контроллеров.
              Потому что под словом «консалтинг» летает очень много левых платежей, типа откатов и т.д.
              Особенно, при международных переводах.
              Особенно, на крупные суммы.
              Особенно, если у банка есть возможность запросить информацию по обеим сторонам перевода и окажется, что ни тот, ни другой к консалтингу не особо-то причастен.

              На сколько я знаю, сбербанк вообще отличается излишним рвением в борьбе с «финансированием западом вредителей» и «финансированием терроризма».
              И придерживается политики «бей своих, чтобы чужие боялись».
              Поэтому такой перевод для контроллеров сбербанка должен быть, как красная тряпка для быка.
              • +2
                «Консалтинг» — это всего лишь «работа по контракту». Зачастую это краткосрочные контракты на какие-то услуги (программирование, исследование, тестирование, наладка, проверка и т.д.). Тут можно что угодно впихнуть в это понятие и всё будет чисто.
                • –2
                  Консалтинг (консультирование) — деятельность по консультированию руководителей, управленцев по широкому кругу вопросов в сфере финансовой, коммерческой, юридической, технологической, технической, экспертной деятельности. Цель консалтинга — помочь системе управления (менеджменту) в достижении заявленных целей.
                  (С) wikipedia. Это его первоначальное определение.
                  Просто у консалтинга, как у услуги, нет материального продукта, нельзя потребовать доказательств, что услуга была оказана, приходится верить на слово.
                  Поэтому «консалтинг» удобно указывать там, где не хочется париться с договорами и четкими определениями работы.
                  Это все понимают.
                  Но так же с описанием «консалтинг» можно передавать левые деньги (взятки, откаты и т.д.)
                  Поэтому, в банках, в куче платежей «за консалтинг» пропускают обычные, но могут обратить внимание на подозрительные.
                  На скрине виден платеж из за бугра «за консалтинг» без договора на крупную сумму.
                  Это, мягко говоря, выглядит подозрительно, поэтому я и удивился, что его пропустили.
                  • 0
                    У серьёзных граждан, оперирующих не совсем честными миллионами, на зарплате есть N юристов, которым не составит труда вместо «консалтинг» нарисовать оплату проведения исследований на какую-нибудь из недавних резонансных тем. Будь то события в Сирии, крушение A321 или затухание истерики по поводу Эболы в СМИ.
                    А вот у мелочи, не готовой кормить тучные стада юристов, скорее всего будет просто «консалтинг».
          • +4
            А в чем проблема собственно? В странах где действие Вассенаарских соглашений не распространяется на offensive software — разработка эксплойтов юридически ничем не отличается от разработки веб-сайтов на PHP например.
          • +2
            Вы так говорите, будто деньги за эксплойты это что-то плохое.
          • 0
            паспорт сделки
            От 50000$.
      • 0
        Я бы на месте этих лиц брал оплату только криптовалютой.
    • +2
      джейлбрэйк считается законной процедурой
      • 0
        за эксплоит, который (по условиям баг-баунти) должен позволять злоумышленнику удаленно устанавливать произвольное ПО на устройства под управлением iOS 9, то есть в том числе на новые iPhone 6s и iPad

        Что-то у меня некоторые сомнения, что это будет использоваться для установки пиратских игрушек и веселых твиков.
        • 0
          Какая разница как он будет использоваться. Кухонные ножи тоже вполне универсальны и что?

          То что вы выделили жирным, означает всего лишь то, что Джейл будет происходить через браузер с последующей загрузкой cydia/другого ПО
          • +2
            читайте внимательнее) суть в том, что левый софт ставится вообще без какого либо согласия/ведома жертвы атаки. так что ничего общего с джейлом, где вы свой собственный девайс модифицируете
          • 0
            В одном из постов о zerodium читал, что продают они эти эксплоиты только правительственным организациям. Вряд ли они собираются выпускать публичный джейлбрейк.
      • 0
        Не совсем. Формально это нарушение DMCA. Но есть порядок, позволяющий вносить некоторые исключения в рамках концепции fair use. Эти исключения пересматриваются каждые три года. С 2009 года, благодаря лоббированию EFF, джейлбрейк телефонов с целью установки произвольного ПО является таким исключением. В этом году, буквально на днях, его снова продлили и добавили несколько новых исключений. В частности распространили fair use на джейлбрейк любых мобильных устройств с ПО, вроде планшетов и часов.

        Но эти исключения распространяется только на конечного пользователя, владельца устройства. Создание и распространение инструментов для джейлбрейка является незаконным.
        • 0
          Нарушение или нет — зависит от страны, в которой ты живешь.
          В одной стране тебе запретят самому пофиксить баг в прошивке трактора, а в другой стране ты можешь разобрать по винтику то, что купил и развинтить любой софт и это твое законное право.
          • 0
            Я про Штаты.
    • 0
      Случайно стер комментарий, см. ниже
      • +1
        Если компания находящаяся в США продает эксплойты местным гос. организациям — то все законно by default. Если продает за границу — то все законно при наличии у компании-продавца лицензии на экспорт технологий и товаров двойного назначения (у многих компаний занимающихся offensive security такие лицензии есть). Если компания находится не в США и не в ЕС — то в большинстве случаев продажа эксплойтов будет законна даже без каких-либо лицензий.
        Касательно клиентов — технически можно продавать всем желающим, просто госы исторически являются основными покупателями.
    • 0
      Надо посмотреть на Французскую фирму Vupen и Mitnick's Absolute Zero-Day.
      На хабре было уже Кевин Митник осваивает профессию будущего
  • –1
    Надо понимать что удаленный джейлбрейк сам по себе это не один эксплоит. Там по любому должна быть связка из RCE и LPE. Иногда еще нужен обход IL. Я им предлагал по почте и twitter: RCE для Safari(уязвимость в браузерном движке Webkit) без LPE, но они не ответили на мои сообщения(приношу извенения, картинку почему то не получается разместить, хз что я делаю не так):
    https://habrastorage.org/files/b84/be9/533/b84be9533168422bb2bd6cbd1ab66ad3.png
    Есть предположение, что это была просто PR акция с их стороны, для того чтобы привлечь внимание — компания молодая и нужно было как то превлечь внимание, вот и устроили это представление. Ожидания оправдали все надежды, новость хорошо была подхвачена журналистами и все завертелось… Даже если у них сейчас на руках имеется связка для удаленного джейлбрейка, я думаю, что она была у них на руках была намного раньше до публикации новости о покупке зеродея. Ведь это же Vupen, а там весьма головастые ребята, которые каждый год на всяких хакерских конфах загребают по несколько тысяч этих самых франклинов :)
    • 0
      Бегло смотрел их сайт, и там было сказано что они общаются ТОЛЬКО по почте с PGP.
      Чисто теоретически может быть, что это у них вместо капчи используется)
      Ну или просто корпоративное занудство. У меня партнеры украинская фирма с 100% владением швейцарцами. Одноименное с родительским юрлицо в Украине. Работаем внутри страны, за национальную валюту, работаем с ними не первый год.
      У компании внешнеэкомномическая деятельность только с родительской компанией и всё такое. Но нет, все документы на двух языках, все суммы с указанием валюты и курса 1 к 1. Прислал им многотомный договор который по ошибке не везде подписал — конечно они вернули мне оба экземпляра. Конечно не подписанными. ОНИ ПОДПИСЫВАЮТ ПОСЛЕДНИМИ и плевать что это будет лишняя почтовая пересылка нашего экземпляра обратно. Передать документы с грузом? Не не слышали. А вдруг перевозчик потеряет накладную и счет? У перевозчика только ТТН а всё остальное почтой или курьером… Но в целом они нормальные ребята, и если привыкнуть к их занудству, то никаких проблем. Хотя бюрократия уже чем в гос.органах (я работал и в государстве, и с государством, я знаю с чем сравнивать))

      В общем может реально вопрос был со способом связи?
      • 0
        выходил на них по почте с pgp, проблем со связью не должно было быть. возможно просто заигнорили по причине того, что сплоет был не полноценный, т.е без LPE это не совсем удаленный джейлбрейк.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.