Címlap

Idén két perc kellett a MacBook (Air) feltöréséhez

 ( trey | 2008. március 28., péntek - 10:55 )

Ahogy arról tegnap szó volt, idén is megrendezésre került a PWN to OWN biztonsági vetélkedő, ahol Ubuntu-t, Windows Vista-t és Mac OS X-et futtató gépeket lehetett biztonsági szempontból vizsgáztatni. A gépeket az első napon távolról, felhasználói közreműködés nélkül senkinek sem sikerült feltörni, így a maximális 20K dolláros díj nem került kiosztásra. Azonban a második napon, amikor már igénybe lehetett venni felhasználói interakciót, a Mac OS X-et futtató MacBook Air két perc alatt megadta magát.

Charlie Miller két perc alatt keresett tízezer dollárt és egy MacBook Air-t azzal, hogy sikerült bejutni a versenyben szereplő gépre. Tegnap annyival könnyítettek a rendezők a szabályokon, hogy a versenyzők megkérhették a verseny szervezőit, hogy működjenek egy kicsit közre, azaz például látogassanak meg egy preparált weboldalt, vagy nyissanak meg egy e-mail üzenetet.

Millernek - aki leginkább arról ismert, hogy tavaly egyike volt azoknak a kutatóknak, akiknek sikerült elsőként feltörniük az Apple iPhone-ját - nem kellett sok idő. Megkérte a szervezőket, hogy nyissanak meg egy megfelelően előkészített weboldalt, amely a saját exploit-ját tartalmazta. Millernek a sikeres támadás után azonnal alá kellett írnia egy nem közölhetőségről szóló nyilatkozatot (NDA), amelyben vállalta, hogy addig nem beszél a sebezhetőség részleteiről, amíg a szponzor, a TippingPoint nem értesíti a gyártót a hibáról. A kihasznált hiba valószínűleg egy, a Safari böngészőben levő sebezhetőség volt.

A részletek itt olvashatók.

 »
  • A hozzászóláshoz belépés szükséges
  • 6708 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( blau | 2008. március 28., péntek - 10:59 )

azert vicces, hogy hiaba olyan szar a mac, megis az a fodij :)

 ( trey | 2008. március 28., péntek - 11:04 )

Hát nem tudom. Szerintem az igazi fődíj a 10K dollár volt, de te tudod. :)

--
trey @ gépház

 ( blau | 2008. március 28., péntek - 11:45 )

a 10k dollar csak nehezek, hogy nehogy elfujja a szel az air-t :)

 ( nagy_peter | 2008. március 28., péntek - 11:49 )

Járt hozzá a Hardwer is. És azt akárhogy is nézem, azért nem tünik túl rossznak.

Nagy Péter
www.konquer.org

 ( archimonde | 2008. március 28., péntek - 13:08 )

Nem az a fődíj, tévedsz. Amelyik gépet megtöri, azt viheti + a pénzt. A mac kiesett. A másik két gép még versenyben van a harmadik, legkönnyebb napon, és azokat is meg lehet még nyerni.

 ( whitehawk | 2008. március 28., péntek - 13:25 )

Valami apple fanboy ad érte egy lenovo x300-at és jól járt :D

Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش

 ( gd | 2008. március 28., péntek - 22:31 )

Tehet rá Ubuntut vagy Vista-t. Ha azokat nem törik meg.

 ( buran | 2008. március 31., hétfő - 8:39 )

> azert vicces, hogy hiaba olyan szar a mac,
> megis az a fodij :)

Nem fődíj. Az már a kutyának se kellett ezek után... :-)))))
---
;-(

 ( snq- | 2008. március 28., péntek - 11:13 )

proliverzum készített anno egy - azóta bibliává vált - szakmai tanulmányt, amelyben pontos időadatokat (törésteszt) és százalékos összehasonlítást is végez az egyes rendszerek biztonságára vonatkozólag

 ( Oldman (nem ellenőrzött) | 2008. március 28., péntek - 11:35 )

Ez a "biblia" elérhető online valahol?

 ( toros | 2008. március 28., péntek - 12:11 )

Azt hiszem, erre gondolt... ;)

 ( wlaszi | 2008. március 28., péntek - 12:37 )

uhh, ez tutira a rekreációs keretből lett finanszírozva, az IT részlegnek is kell valami szórakozás :D

 ( bra | 2008. március 28., péntek - 12:45 )

Végigolvastam felsővezetői szemmel, de sajnos csak az első bekezdésig jutottam.

 ( tomiki | 2008. március 28., péntek - 12:50 )

Sajnálhatod, mert az igazán szórakoztató részek csak később jönnek.
Az ilyesmi minden vezetőt ráébreszt arra, hogy itt komoly dologról van szó:
"a továbbiakban csak röviden W$-nek fogom írni a Windows-t"

 ( kupcsik | 2008. március 28., péntek - 13:14 )

Jah, egy vállalatvezetőnek marha sok ideje van ilyen szószátyárságot olvasni... Fekete alapon fehér betű rulez. Nem semmi lehetett mindezt begépelni sem.

 ( nevergone | 2008. március 28., péntek - 15:15 )

Idézet:
Fekete alapon fehér betű rulez. Nem semmi lehetett mindezt begépelni sem.

Miért, fekete alapon nehezebben tapadnak meg a fehér betűk, vagy lassabb a gépelés? :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

 ( kupcsik | 2008. március 28., péntek - 16:12 )

Ja, lehet, hogy össze kellene függeniük a mondataimnak? :) Nem úgy szántam őket. Közben rájöttem, hogy lehet hogy így kevesebb energiát használ a CRT monitor :)

 ( noss | 2008. március 28., péntek - 17:41 )

a felsővezető szeme tapad rá nehezebben...
olvasás közben gépelünk? :]

 ( ody42 | 2008. március 28., péntek - 15:49 )

Firefox megoldas a fekete alapon feher szovegre:
View/Page Style/No style
voila. :)

Mas kerdes, hogy a cikk szinvonalan ez nem javit ;)

 ( hal | 2008. március 28., péntek - 15:59 )

Remélem csak vicc, hogy "Készült a cég felsővezetői részére". :-)

 ( toros | 2008. március 28., péntek - 16:34 )

Nem vicc, de vicces... :)

 ( NagyZ | 2008. március 28., péntek - 17:54 )

es azota nem dolgozik ott? :)

 ( Nerdman | 2008. március 28., péntek - 18:10 )

Bookmarkoltam is gyorsan, ha majd nagyon unatkozom elolvasom mégegyszer :-D

Kulcsszavak: W$, Vezetőink, herdver

Kivonat (olyan mint a kötelező olvasmányok rövidítettjei :D):

"United States Army Publishing Agency (Tehát az amerikai hadsereg!!!)"
"A kínaiak, Japán és Korea pedig összefogtak, hogy kifejlesszenek egy ázsiai Linuxot (mert nekik olyan különleges „betűik” vannak)"
"vírus ... önmagukat szexképnek tüntetik fel ... mások gépeire is „átmászhat”"
"amint egy hal is csak a vízben élhet ... a halat a vízből kiemelve magas hegytetőre vagy sivatagba viszik"
"Komoly tesztek bizonyítják, hogy egy Windows XP rendszert egy közepesen képzett hekker néhány óra alatt „tör fel” ... egy Linux rendszernél azonban ez egy nagyon profi hekkernek is néhány hetébe kerül – ha egyáltalán sikerül neki"
"(lassan itt a nyakunkon a Windows Vista is)"
"Bill Gates ... gátlástalan .. közepes szintű programozó .. rajtam többé nem fog nyerészkedni"
"MS-DOS .. operációs rendszer-szerű termék .. Unix gyenge kivitelű, csökken képességű változata"
"Microsofték ... aljas trükk .. szándékos "biztonsági rések" .. Winfos ... mint a drogkereskedők .. írtó ciki"
"Linux .. szoftvertechnológia csúcsa .. komolyabb rendszer"

És a kegyelemdöfés a Linux mellett: "szegény ember vagyok, a szőr feláll a hátamon a gondolatra ha pénzt kell kiadnom valamiért"

Bocs Poliverzum, de a Linux népszerűsítése a felsővezetők körében nem abból kellene álljon, hogy 30 oldalon keresztül fikázod a Microsoft-ot, a pontatlanságokról, szándékos csúsztatásokról nem is beszélve, ez így bullshit. És különben is Microsoft ügynök vagy, mert nálad nagyobb érvet soha nem tudnék felhozni a Linux ellen :P
_______________________________________________
Keep It Arch Linux | Simple Xfce | Stupid! Fluxbox

 ( hege | 2008. március 28., péntek - 19:28 )

"Pontszámokban kifejezve, ha a VMS biztonságértéke 100, akkor egy jól beállított UNIX alapú rendszer értéke mintegy 80-90 lehet, a legnagyobb szakértelemmel beállított, legújabb W$ rendszeré pedig nagy jóindulattal talán 20. Komoly tesztek bizonyítják, hogy ..."

"Léteznek persze nagyon jó víruskereső programok Linux alá is, de ezeket arra szokták használni, hogy ha a Linux egy szerver gépen fut, s e szerver gép olyan gépeket szolgál ki, melyeken W$ van, akkor e linuxos vírusellenőrző program e windózos gépeket védi a windózos vírusoktól, mint a kotlós a csibéit a sas­madártól!"

:)

 ( Panther | 2008. március 28., péntek - 20:06 )

Ez viszi a pálmát:

"Tehát megismétlem: a vállalatvezetés akkor cselekszik a leghelyesebben, ha a winfosos licenszeket nemcsak nem használja fel, nemcsak kidobja a szemétbe amúgy papírosostul, CD-sestül, felbontatlanul, de egyenesen légmentesen lezárt tartályokba helyezi el őket, és a veszélyeshulladék-tárolóba dobja bele, hogy meg ne fertőzhessen más, gyanútlan, jobb sorsra érdemes felhasználókat!"

winfosos ... szemétbe ... CD-sestül... vesuélyeshulladék-tárolóba ... ne fertőzhessen ...

Na ettől már nem is lehet komolyan venni

 ( trey | 2008. március 28., péntek - 20:08 )

Hadd kérdezzem meg, hogy van-e ennek bármilyen szoros kapcsolata a cikkben szereplőkkel? Mert ha nincs, akkor lehetne kérni, hogy a fórumban az "offtopikban" folytassátok ezt a rendkívül épületes szálat? Köszi.

--
trey @ gépház

 ( bra | 2008. március 28., péntek - 22:59 )

Felsővezetőknek készült. Felsővezető vagy? Nem. Na látod. Te ezt nem értheted.

Egyébként meg nem úgy volt, hogy a GPL fertőz?

 ( nagygabor | 2008. március 28., péntek - 17:54 )

Köszi a linket, végigolvastam :) terjeszteni kéne :P
//csípanyitó

 ( leeroy | 2008. március 28., péntek - 11:25 )

Es az Apple meg mindig nem kereste meg allasajanlattal?

 ( Adi | 2008. március 28., péntek - 11:47 )

Ügyes! :)

--
Sokan nincsenek tudatában annak, / hogy egyszer mindenki meghal. / Akik ráébrednek erre, / azonnal abbahagyják az ellenségeskedést.

 ( Lityi | 2008. március 28., péntek - 12:21 )

Maximálisan megérdemli a srác! S azért elsöröznék vele, dumálnánk erről-arról... :)

--
[Random Topical Haiku] (Slashdot.org) I've Got A Cool Site. What The Fuck? So Much Traffic! Now My Server's Down

 ( Lory | 2008. március 28., péntek - 13:24 )

Biztos azért a Mac-et törték fel a legelőször mert a Safari a leggyorsabb :)

 ( mash | 2008. március 28., péntek - 14:20 )

LOL! :)

 ( numen | 2008. március 28., péntek - 14:57 )

egy hatalmas +1...

int getRandomNumber() {
return 4;	//szabályos kockadobással választva.
	       //garantáltan véletlenszerű.
}	      //xkcd

 ( trey | 2008. március 28., péntek - 15:00 )

Nem tudom, hogy valóban a leggyorsabb-e, de úgy nem nehéz vigéckedni, hogy egy fél böngészőnyi funkcionalitás hiányzik belőle. ;)

--
trey @ gépház

 ( kikke | 2008. március 28., péntek - 15:09 )

Le fognak trollozni.
--
the tide is turning

 ( Nerdman | 2008. március 28., péntek - 15:05 )

Csak pozitívan! :-D

Tavaly is a MacBook-ot sikerült elősször feltörni egy Safari sebezhetőségen keresztül.
_______________________________________________
Keep It Arch Linux | Simple Xfce | Stupid! Fluxbox

 ( Lightgod | 2008. március 28., péntek - 14:22 )

"( Lory | 2008. március 28., péntek - 12:24 )" -ra valasz:
Vaaaaaa... ez nagyon fajt...
Azert enniyvel gyorsabb nem lehet =P

De azert a kedves uriember azert tudhat valamit =)
--
by lightgod

 ( kohinoor | 2008. március 28., péntek - 14:46 )

Biztos megvan a kovetkezo evre is az exploitja, akkor fel perc lesz :)

 ( fejesjoco | 2008. március 28., péntek - 16:31 )

na pont ezért nincs értelme egy ilyen versenynek. vagy van előre valami exploitod, amit esetleg nem is te csináltál, es rögtön feltöröd, vagy nincs, ekkor egyedül találni egy hibát és exploitot írni rá akár napokba is telne.

--
joco voltam szevasz

 ( vamosa | 2008. március 28., péntek - 18:42 )

"a versenyzők megkérhették a verseny szervezőit, hogy működjenek egy kicsit közre"
Talán ez volt két perc... meg mire eszébe jutott, honnan töltse le az exploitot :)

 ( trey | 2008. március 29., szombat - 11:08 )

Ja, ha ekkora nagykirályok vagytok, akkor meg tudnátok mondani, hogy honnan lehet letölteni ezt az exploitot, meg összedobnátok egy howto-t, hogyan is kell használni? Valószínűleg azért adtak neki 10K-t, mert eddig még ismeretlen exploitot használt. Ez ugyanis alapfeltétele annak, hogy a TippingPoint fizessen. Olvassátok el előbb a Zero Day Inititative feltételeit, mielőtt nekiálltok hülyeségeket beszélni, hogy fogta letöltötte.

--
trey @ gépház

 ( hege | 2008. március 29., szombat - 0:46 )

marketingérték. bebizonyítják hogy a csillivilli új dollármilliós oprendszerek nem csak hogy jók hanem kevéssé sebezhetők is.... oh wait! *jokingly*

 ( trey | 2008. március 29., szombat - 11:09 )

Baromság. A TippingPoint ebből üzletet csinál, neki egy a 10K dollár - amit kifizetett - többszörösen megtérül. Nézz utána milyen eszközöket és hozzájuk tartozó szolgáltatást forgalmaz a cég.

--
trey @ gépház

 ( hege | 2008. március 29., szombat - 17:10 )

easy, csak ironizáltam :)

 ( Hunger | 2008. március 28., péntek - 16:35 )

Egyesek szerint erről a hibáról van szó.

 ( saabi | 2008. március 28., péntek - 23:40 )

Hát, ez ciki.

Ave, Saabi.