@auth.gabor: "Saját bevallása szerint hol írta, hogy jó ideje benn volt (talán más hírt olvastunk)?"
"Without any doubt this is an opsec failure on our end (this week we did
poke a little bit more aggressively around the underlying OS sandbox /
issued various system calls in order to learn more about the nature of
the error code 202, the sandbox itself, etc.)"
Azt irja a kitiltást ők b.ták el, mert EZEN A HÉTEN nagyon agressziven ügyködtek, azaz már több hete bent voltak.
" durva dolgok nem voltak annyira durva dolgok, azon kívül persze, hogy kijutott a sandbox-ból."
LOL, átmenni egy sandboxon és a külső oprendszeren nativ kódot futtatni neked nem durva dolog...
Aztán mi van még itt:
- we bypassed GAE whitelisting of JRE classes / achieved complete Java VM security sandbox escape
azaz a teljes Java VM security-t megkerülték, nem voltak érvényesek a processzre vonatkozó korlátozások
- we achieved native code execution (ability to issue arbitrary library / system calls),
ezt talán nem kell magyarázni
És még sokminden más. Nyilván ez számodra - mivel a google-ról van szó - semmiség
"Miből gondolod, hogy nincs ilyen? "
Nem érted. Nekem mint másik google cloud felhasználónak nincs ilyenem. Nem férek hozzá. Fogalmam sincs, hogy hozzáfértek-e az én dolgaimhoz azzal, hogy kitörtek a saját accountjok sandboxából és nativ kódot tudtak futtatni, fileokat elérni, olyanokat amikhez nem lett volna joguk.
A google meg nem fogja telekürtölni a világot, hogy felnyomták a cloud szolgáltatását kiszolgáló szervereket, az egészről csak azért tudunk, mert a "hacker" megirta. De hogy ez kit érintett még a felnyomott szerveren arról semmit nem tudunk. Nyilván ez esetben nem is érdekes, hiszen ismert biztonsági szakértő nyomta fel a google-t, de itt most általánosságban beszélünk, azaz mi van, amikor egy cloud szolgáltatót felnyomnak és kitörnek a sandboxukból és mások adatihoz férnek hozzá. Saját rendszernél van lehetőséged az utolsó bitet is rögziteni a támadás során és később kideriteni, hogy pontosan mihez fértek hozzá, cloud esetén pedig nincs ilyen lehetőséged. Ki vagy szolgáltatva a cloud szolgáltatónak, hogy elhiresztelje magáról, hogy felnyomták. (nem fogja)
"Hol látod azt az információt, hogy veszélyben volt bárki másnak is az adata?"
Onnantól, hogy megkerülték a sandbox-ot és megkerülték a processzükre vonatkozó korlátozásokat és nativ kódot tudtak futtatni ill. nativ rendszerhivásokkal file-okat értek el, ennyiből feltételezhető, hogy más userek adatihoz is hozzáférhettek.
"Nem lehet, hogy van egy erős prekoncepciód?"
Ezt én is kérdezhetném, neked a fent felsorolt nagyon durva hack, jogok megkerülésével, nativ kód futtatásával nem durva. Csak nem prekoncepció mert a google-ról van szó?
Re: Mattot kapott a Sony Pictures
#62
Elküldve: 2014. 12. 09. 18:45
Kár, hogy PS4 crackhez nem kerestek infót a Sony szerverein. Több értelme lett volna mint ezeknek a bugyuta filmeknek. Desktop PC-nek teljesen jó lenne a PS4 ha már fel lenne törve.
#63
Elküldve: 2014. 12. 09. 22:26
@Modeller: "Azt irja a kitiltást ők b.ták el"
Most akkor kitiltották őket vagy magukat tiltották ki?
"LOL, átmenni egy sandboxon és a külső oprendszeren nativ kódot futtatni neked nem durva dolog...
Aztán mi van még itt:
- we bypassed GAE whitelisting of JRE classes / achieved complete Java VM security sandbox escape
azaz a teljes Java VM security-t megkerülték, nem voltak érvényesek a processzre vonatkozó korlátozások
- we achieved native code execution (ability to issue arbitrary library / system calls),
ezt talán nem kell magyarázni"
EZ a sandbox-ból való kilépés... teccikérteni? Ez nem azon túli nem durvább dolog, hanem ez az.
"Nem érted."
Ok, nem értem. Azt hiszem írtam már egyszer, hogy a nyavalya fog veled vitázni, inkább fél nap Flappy bird, annak is több értelme - sőt, haszna - van.
Most akkor kitiltották őket vagy magukat tiltották ki?
"LOL, átmenni egy sandboxon és a külső oprendszeren nativ kódot futtatni neked nem durva dolog...
Aztán mi van még itt:
- we bypassed GAE whitelisting of JRE classes / achieved complete Java VM security sandbox escape
azaz a teljes Java VM security-t megkerülték, nem voltak érvényesek a processzre vonatkozó korlátozások
- we achieved native code execution (ability to issue arbitrary library / system calls),
ezt talán nem kell magyarázni"
EZ a sandbox-ból való kilépés... teccikérteni? Ez nem azon túli nem durvább dolog, hanem ez az.
"Nem érted."
Ok, nem értem. Azt hiszem írtam már egyszer, hogy a nyavalya fog veled vitázni, inkább fél nap Flappy bird, annak is több értelme - sőt, haszna - van.
#64
Elküldve: 2014. 12. 10. 08:19
@auth.gabor: Értem-értem, semmiség az egész, elvégre több hét után kitiltották őket és "CSAK" a sandboxuktól törtek ki, nincs itt semmi látnivaló.
Nyilván ha ugyanez az azure-ban történik meg, akkor is te lennél a topicban az első aki nagy hévvel magyarázná, nekünk hülyéknek, hogy ez semmiség, LOL.
Nyilván ha ugyanez az azure-ban történik meg, akkor is te lennél a topicban az első aki nagy hévvel magyarázná, nekünk hülyéknek, hogy ez semmiség, LOL.