10.12.2014 | 11:55

Adam Haertle

Bezpieczeństwo Google App Engine Java rozbite przez Polaka

Zespół Google Project Zero wziął ostatnio na cel omijanie „piaskownic” konkurencji (Internet Explorer, Safari, OS X), tymczasem nasz krajowy pogromca Javy, Adam Gowdiak, przyjrzał się piaskownicy Javy w Google App Engine. Większość dostawców podobnych platform chyba już się przekonała, że gdy ich produkty trafiają w ręce Polaka, to kończy się to nie najlepiej. Tak też było i tym razem – Gowdiak odkrył, jak sam opisuje, 22 problemy składające się na 17 metod obejścia zabezpieczeń piaskownicy, dzięki czemu uzyskał dostęp do warstwy systemowej i mógł pooglądać piaskownicę od zewnątrz (w tym plik libjavaruntime.so o rozmiarze ponad 400 MB).

Niestety jak na razie Google nie może otrzymać raportu z badań Polaka, ponieważ najwyraźniej zorientowało się, co się święci i zablokowało konto, z którego korzystał. Gowdiak prosi zatem publicznie o odblokowanie dostępu, by mógł dokończyć swoje badanie i udostępnić zebrane informacje. Może ktoś z Google pomoże?

Aktualizacja 2014-12-16

Autor badania poinformował, że Google stanęło na wysokości zadania i zgodziło się na kontynuację eksperymentów (z zastrzeżeniem ich ograniczenia do warstwy maszyny wirtualnej, bez uciekania do OS). Poza tym części ze znalezionych błędów nie udało się odtworzyć na środowisku produkcyjnym (różnice w konfiguracji), jednak nadal ucieczka z sandboxa była możliwa. Adam Gowdiak opisał historię korespondencji z Google oraz podał odpowiedzi na najczęściej pojawiające się pytania.

Powrót

Komentarze

  • 2014.12.10 12:19 socar

    Świetna metoda prewencyjna w wykonaniu Google. Najlepsze gołebie z niej korzystają – „Zamknijmy oczy to kot zniknie”.

    Odpowiedz
    • 2014.12.10 14:58 atom

      niektóre systemy potrafią same zablokować konto/ip jeśli ktoś z niego próbuje się gdzieś włamać ;)

      Odpowiedz
  • 2014.12.10 12:41 dzikuseq

    Niech upubliczni albo sprzeda jak nie chcą responsible disclosure.

    Odpowiedz
  • 2014.12.10 15:52 carstein

    „Może ktoś z Google pomoże?”
    Może ktoś już się tematem zajmuje bo może security team z google nie jest wcale taki głupi jak niejaki @socar uważa.

    Odpowiedz
    • 2014.12.11 07:22 ajajaj

      „Może ktoś już się tematem zajmuje” – tak zajmuje się, na początek zablokowali konto,
      żeby dać sobie czas na poprawki, a potem odtrąbią „sukces”

      Odpowiedz
      • 2014.12.11 12:30 carstein

        W psychologii ten mechanizm nazywa się projekcją. Jasne, że taki buc jak ty właśnie tak by postąpił – ale dlaczego uważasz, że inni postąpili by tak samo? Akurat Google wypłaciło juz kilka mln $ w programie VRP – czemu uważasz, że tutaj będzie inaczej?

        Odpowiedz
        • 2014.12.11 13:21 dzikus

          Odezwę się bo dla mnie największym bucem w tej dyskusji jak na razie jesteś ty.

          Obrażasz swoich adwersarzy pomimo tego że oni ani nie obrażają ciebie ani nawet google. Dywagują sobie na temat i co by tu nie pisać to jednak to że zablokowali konto śmierdzi i tyle. To że pracujesz w google widać na odległość, ale to wcale nie znaczy że wszyscy tam nie pracujący to buce i głupki. I tyle w temacie EOT.

          Odpowiedz
          • 2014.12.11 13:36 carstein

            „Obrażasz swoich adwersarzy pomimo tego że oni ani nie obrażają ciebie ani nawet google. ”
            To nie są dywagacje, to są insynuację na temat unikania przyznania się do problemu i chęci zamiecenia problemu pod dywan. Takie insynuacje są obraźliwe.

            „To że pracujesz w google widać na odległość, ale to wcale nie znaczy że wszyscy tam nie pracujący to buce i głupki.”
            Tak, pracuje. Nawet nie trzeba patrzeć z odległości bo łatwo to na linkedin sprawdzić. Nie twierdzę, że wszyscy inni to buce, ale mam alergię na internetowych mędrków, którzy nie znają sytuacji, ale nie przeszkadza im to snuć oskarżycielskich domysłów i przenosić swoje modele zachowania na innych.

            „to że zablokowali konto śmierdzi i tyle”
            Standardem jest blokowanie kont kiedy różne systemy wykryją powtarzające się próby przełamania zabezpieczeń. Nie tylko w Google. W firmach bez VRP czasami może się to skończyć nawet prokuratorem. Obowiązuje mnie tajemnica więc nie będę rozwijał tematu, ale wierzę, że sprawa znajdzie swój pozytywny finał.

        • 2014.12.16 11:40 Jarek

          Michał, nie pierwszy raz obrażasz innych bez powodu, dałeś już próbkę swojej kultury osobistej pod tym artykułem:
          https://zaufanatrzeciastrona.pl/post/11-przykladow-jak-nie-handlowac-nielegalnymi-substancjami-w-internecie/

          Odpowiedz

Zostaw odpowiedź do dzikuseq

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Bezpieczeństwo Google App Engine Java rozbite przez Polaka

Komentarze