Citat:
Ivan Dimkovic: Tja... samo zbog ovoga mi ovo mirise na Hot Air, ali hajd da sacekamo i da vidimo kako su to uz pomoc skriptova uspeli zaobici protekciju memorije (ASLR ajde de, za to su postojale metode i ranije i na svim OS-evima, ali ne tako jednostavno i komercijalno nije bilo bas upotrebljivo, daleko je lakse koristiti socijalni inzenjering i ljudsku glupost nego pokusavati prevariti ASLR)
U principu od ovog mogu samo 2 stvari da budu:
1. Neko je otkrio potpuno nov nacin hackovanja, i to ce biti veliki korak za hakersku industriju i ogroman problem za MS
2. U pitanju je bshit
do nekle se slazem, kao sto sam vec rekao , retki su oni sa znanjem koje je potrebno da bi uspesno upotrebili ove tehnike , a i pored toga , to nije nista revolucionarno novo
to se uvek desava , kakvu god zastitu da ko god smisli uvek ce se naci nacin za zaobilazenje , tako da ova stvar nije ni bshit , niti potpuna revolucija u nacinu eksploatacije kao sto je bilo recimo sa format string bug-ovima desetak godina nazad
problem je u tome sto programi imaju bug-ove , a ne u zastitama , mogli bi sada da udjemo u raspravu kako su svi ti sigurnosni propusti u C-u , ali to nije poenta , poenta je u tome sto nema savrsene zastite , naravno , mogla bi da se napravi savrsena zastita, ali bi u tom slucaju sam racunar vise vremena trosio na "sticenje" nego na sam rad , vec sam citirao Schneier u vezi sa IT security poljem ...
u trenutku kada dozvolite da se nepoverljiv kod izvrasava na vasem racunaru , vi potencijalno gubite svu kontrolu , a to web browseri omogucavaju nasiroko , i naravno ne kazem da bi sve to trebalo da prestane da se koristi
ako se dobro secam , pre nekih godinu dana je postojala slicna tema , takodje na advocacy, gde sam jos tada rekao da postoje tehnike za zaobilazenje ASLR-a i DEP-a
ne sumnjam da su Dowd i Sotirov uradili dobar posao , ali vi ovde dizete veliku galamu oko necega sto je potpuno jasno , kad god se pojavi neka nova zastita , uskoro ce se pojaviti i nacin zaobilazenja
ko se bavi ovim stvarima , setice se sta je heap spraying i heap feng shui i ko je to smislio , to su bile jako interesantne tehnike ...
pozdrav,
Aca