Mac OS X biztonsági kihívás

macOS

A tegnapi balhé után folytatódik a Mac OS X biztonságát vizsgáló viccH^H^tesztsorozat. A wisconsin-i Madison egyetemen felállítottak egy másik "hackme" gépet. Ők azt fájlalják, hogy a ZDNet-es cikkben a gépet deface-előnek volt lokális hozzáférése (nyilván, erről szól a local exploit).

Most ők felállítottak egy másik gépet, amelyet meg lehet próbálni deface-elni. Távolról. A teszt március 10-ig tart.

A részletek itt.

( trey | 2006. 03. 07., k – 09:37 )

Nos, nem akartam a cikkbe írni, mert megint azzal vádolnak, hogy elfogult vagyok. Néhány baj ezzel a contest-tel:

1.) Teljesen más dologról beszél, és csinál contestet. A tegnapi ZDNet-es cikk egy még nem közölt (Vagy közben mégis? - ha arról van szó, amire gondolok, azt közben az Apple javította 6 hónap után (:-), ezen a gépen lévén, hogy patchelve van, már nem fog működni) _helyi sebezhetőségről_, majd annak segítségével való deface-ről szólt. Ott az volt a security challenge tárgya, hogy volt a gépre acc. Így hirdette meg a kiíró. Ott bukott a mutatvány. Hol állította a ZDNet cikk, hogy ez működik távolról is? Most elkezd bizonygatni a valami olyat a fószer, amiről senki sem állította, hogy létezik.

2.) A kacagás ott fogott el, amikor a következőt olvastam: nincs pénzdíj, viszont el kell mondanod, hogy hogyan csináltad, sőt jelenteni is fogják az Apple-nek. LOLROTFLMAO. Persze. Ha van remote exploit - ami a piacon akár dollár ezreket is érhet - valaki azonnal beközli valakinek csak azért, mert ő challenge day-t játszik.

3.) Ki tudja ki állította fel a gépet, és ki figyeli. Épeszű ember ezekután a közelébe se megy exploittal.

4.) Maga a kiíró jó tanácsokat ad. Ne adj lokális accot. Workaroundnak jó. Csak kár, hogy van Mac OS X szerver is.

5.) Maga a kihívás írója is elismeri, hogy a local root veszélyes, pláne kombinálva a multkori Safari, Mail, foobar stuffal. Mintha magamat hallanám tavaly októberből.

--
trey @ gépház

"Nos, nem akartam a cikkbe írni, mert megint azzal vádolnak, hogy elfogult vagyok. "

Gyanus ;)

Ellenben ha valaki "olyan", akkor neked is "olyannak" kell lenned ? Plane ugy, hogy a szajt amit csinalsz hirforrasnak szamit, es az ember fia (pl. en) szereti ha partatlan a hir. Eleg mocskolodas van a napi sajtoban, nem kellene ide is behozni. Jo, a hozzaszolasok az mas, ott ertheto is talan ;)

---
pontscho / fresh!mindworkz

Azt már nem is merem említeni, hogy a múlt héten kiadott patch nem javítja állítólag 100%-ban a múlt heti hibát...

Mac OS X patch faces scrutiny

(An Apple Computer patch released last week doesn't completely fix a high-profile Mac OS X flaw, leaving a toehold for cyberattacks, experts said.)

--
trey @ gépház

trey, mondjuk abban megmondom oszinten felnezek rad, hogy te meg nalam is pofatlanabbul probalod alatamasztani az erveidet (bar a tieid sajnos altalaban falsok, de mindenesetre nagyreszt ferditesek, valamint - ez esetben peldaul - ertelmetlen trollkodasok). Pl en nem alacsonyodok odaig, hogy olyan cikket hasznaljak e celra, amiben egy sorban szerepel a "cyberattacks" es az "experts say" szo. :(((

tribute to trey.

> Fals

Muhahahaha

1.) hunger belinkelte a local root exploit kódját. Segítek: xosx-passwd.pl

Idézek az exploit kódból:

"(for some reason this took apple 6 or so months to patch)"

2.) Az Apple elismerte és javította a Safari sebezhetőséget, a Secunia "extreme critical" kategóriába sorolta

Az Apple a vendor értesítés után 6 hónapig nem volt képes arra, hogy workaround-ként levegye a suid bitet a passwd-ről (ne kelljen linkelnem a bugtraq bejelentést, amiben benne van, hogy az Apple megerősítette a hibát, mert már megtettem párszor. keress az archivumban ha érdekel). Semmivel sem jobb az Apple hozzáállása a security-hez, mint az állandóan ócsárolt MS-nek. Vagy az általad állandóan savazott Linux kernelének. A cukormáz lassan lepattog. Van ez így.

Ezek tények kedves barátom. Csak neked - aki korábban trombitálta a Mac OS X biztonságot - ezek fájnak. De nekem ez nem fáj. :-)

--
trey @ gépház

Eddig sem volt megtiltva, hogy valaki Linux disztrót érintő local root exploitról, vagy súlyos windosos hibáról szóló hírt küldjön be. Az elmúlt években legalább saját kézzel írtam meg ilyen cikket legalább ötöt. Volt itt NetBSD remote root-tól kezdve OpenBSD local root-ig, vagy éppen backdooros OpenSSH-ig minden.

Nekem ez nem fáj :-D

--
trey @ gépház

( Hunger | 2006. 03. 07., k – 09:44 )

"and has ssh and http open"

bizonyára sokan fogják feláldozni az openssh és apache 0day exploitjaikat (amelyek gyakorlatilag a legértékesebbek) egy 'bizonyítás' miatt...

ez már tényleg vicc.

Nem erted.

Ez media hack, nem Mac hack :)

A csoka a multkori harmincperces sztorit akarja anti-fudolni.

Igy az egyszeri olvasonak nem az fog lejonni hogy "szar a Mac mer' harminc perc alatt fel lehet nyomni", hanem az, hogy "egy luzer kirakta a Mac-jet es neki felnyomtak pikk-pakk, de egy masik teszt megmutatta, hogy igazabol ez megsem ilyen egyszeru"...

Legalabbis a "contest" kituzoje ezt remeli.

Ha mar itt tartunk... mennyire biztonsagos az ssh?
Az en gepemen csak az ssh port elerheto kivulro, hogy el tudjam en is erni... Rootkent nem lehet belepni, de a szabvany porton fut (sokkal jobb lenne ha nem a szabvany porton futna?)
Szoval mennyire van biztonsagban a gepem?
Valamennyire azert igen, vagy egyaltalan nem?

Hehe :)
Elég ha bediktálod azt az IP-t amit a képen látsz, mint a_root_kis_kacsa... ;D
SSH-s kérdésre meg sajnos nem lehet igen/nem illetve pár szavas mondatban választ adni, mert sokmindentől függ. Az első kérdés mindig az, hogy ki(k)től akarod megvédeni a gépedet. Ha erre megvan a válasz, akkor lehet továbbmenni... ;)

Idézet a lapról
2006-03-06 This morning I put "http://www.orkspace.net/owned" online.

It is a dynamic gif that simulates an attack (ssh exploit for unix hosts and rpc exploit for windows hosts). The IP address is generated at runtime and it is equal to the IP of the visitor.

IT IS A FAKE!!! don't ask me how and when I hacked you!!!

During the first 8 hours i got more than 6000 visits!

Azért nem tökéletes. Egy XP NAT-ol nekem, és vajon arra hogy került sh-3.00? :-)

( Hunger | 2006. 03. 07., k – 11:16 )

Kiváncsiságból megkérdeztem "gwerdna"-t, hogy mi a véleménye erről a kihívásról és azt mondta, hogy legjobb megoldás ebben az esetben azt az embert célba venni, aki üzemelteti a hackme gépet. Az ő desktopján keresztül már könnyen megszerezhető a hozzáférés a defacelni kívánt weboldalhoz, de nem fogja ezzel tölteni az idejét csak azért, hogy bizonygasson egy olyan dolgot, amely egyértelmű...

Hazudsz. Nincsenek konkrétumok!!!!111 Szerintem az arc nem is létezik!!111 Exploit sincs, és a Mac OS X a világ legbiztonságosabb UNIX-szerű OS-e!!!111 Onnan tudom, hogy még nem törtek meg soooohaaaa!!!11 A cégek is hazudnak, mert azt állítják, hogy 15 éves hibák vannak benne!!!111 Azért mondják, mert vírusirtót akarnak eladni!!11 Különben is a Microsoft van a háttérben!!111

--
trey @ gépház

Baszki en nemtom mit akarsz ezzel elerni :) Nyilvan nem ellenem szol ez az egesz lejarato hadjarat, mert 1. en szerintem sose mondtam hogy az OSX fu de biztonsagos lenne, mivel ilyen baromsagot nem lehet komolyan allitani semmilyen rendszerrol 2. ennyi erovel rafekudhetnel az osszes vms, qnx, osf/1, minix, dos 6.22 sechole-ra, mert mindegyiket jo rendszernek tartom bizonyos szempontok alapjan.

Amit meg el tudok kepzelni, hogy az allitolag gyakran hangoztatott "OSX is safe" ervet megcafold. Erre semmi szukseg, mert 1. aki nem ert az unix biztonsaghoz az sajnos a te hangos szonoklataidtol se lesz okosabb 2. aki ert, az meg ugyis tudja hogy nem igaz.

Igazabol most, hogy a szakmailag (ismeros meg a szo?) elfogadhato racionalis erveket kizartam, a kovetkezo dolgokat tartom lehetsegesnek:

- raersz
- szorakoztat
- viccesnek tartod magad, mert egy desktop Unix rendszert a WinXP-vel mersz ossze, csak azert mert van pofaja a szemetnek szep es hasznalhato GUI-t nyujtani
- celod, hogy a kozossegi (es FSN?) tamogatassal uzemelo hup-ot egy posvanyos dagonyava alacsonyitsd (ez eddig megvan), es kikialtsd a sajat szemelyes szubjektiv blogodnak (erre is tobb izben ragadtattad mar magad)
- meghulyultel (megvan ra az esely a latottak alapjan)
- tenyleg drogos vagy (el tudom kepzelni)
- skizofren vagy, es Adi a masodik szemelyiseged (ilyen velemenyt is hallottam mar; latok ra realis eselyt)

Szerintem te ne oktass senkit normális viselkedésből. Eddig sem volt egy épkézláb hozzászólásod, a sux-ban kimerült minden. Nézd végig, miket szoktál hozzászólni a linuxos témákhoz.

Elhiszem, hogy most kicsit visszább kell venned az arcból. De teccett volna előbb gondolkozni, és "szakmailag" vitatkozni, nem izomból.

Természetesen ez csak az én véleményem.

Azon a pár, általad felsorolt ponton, eddigi fórumos ámokfutásod fényében nyugodtan gondolkozz el. Olvasd fel magadnak szépen, hangosan, érthetően a tükör előtt. Sokszor.

LoL.

> Nyilvan nem ellenem szol ez az egesz lejarato hadjarat

Ellened? Nem vagy te olyan fontos, hogy ellened szóljon. Nem szól senki ellen. Ezek tények.

> sok random baromság, amiket felsoroltál....

:-)

Azt a verziót el tudod képzelni, hogy ez egy linkelő oldal, és csak a külföldi cikkeket linkeli be? Segítek: ha az angol nyelvű sajtóban nem lesz 19 hónapig egy Mac OS X biztonsággal foglalkozó cikk sem, akkor itt se. De most van. Ezért itt is van. Miért? Mert ez egy olyan oldal, ahol linkek vannak.

Ezek a cikkek egytől egyig megjelentek a Slashdoton, a Daemon News-on és az OSNews-on. És akkor még hozzáteszem, hogy lenne több is, de nem linkelem be. Oda miért nem mész panaszkodni?

--
trey @ gépház

- celod, hogy a kozossegi (es FSN?) tamogatassal uzemelo hup-ot egy posvanyos dagonyava alacsonyitsd (ez eddig megvan), es kikialtsd a sajat szemelyes szubjektiv blogodnak (erre is tobb izben ragadtattad mar magad)

Ez a legaranyosabb. Ezért szemenköphetnéd magad egy héten keresztül.