Idén két perc kellett a MacBook (Air) feltöréséhez

Ahogy arról tegnap szó volt, idén is megrendezésre került a PWN to OWN biztonsági vetélkedő, ahol Ubuntu-t, Windows Vista-t és Mac OS X-et futtató gépeket lehetett biztonsági szempontból vizsgáztatni. A gépeket az első napon távolról, felhasználói közreműködés nélkül senkinek sem sikerült feltörni, így a maximális 20K dolláros díj nem került kiosztásra. Azonban a második napon, amikor már igénybe lehetett venni felhasználói interakciót, a Mac OS X-et futtató MacBook Air két perc alatt megadta magát.

Charlie Miller két perc alatt keresett tízezer dollárt és egy MacBook Air-t azzal, hogy sikerült bejutni a versenyben szereplő gépre. Tegnap annyival könnyítettek a rendezők a szabályokon, hogy a versenyzők megkérhették a verseny szervezőit, hogy működjenek egy kicsit közre, azaz például látogassanak meg egy preparált weboldalt, vagy nyissanak meg egy e-mail üzenetet.

Millernek - aki leginkább arról ismert, hogy tavaly egyike volt azoknak a kutatóknak, akiknek sikerült elsőként feltörniük az Apple iPhone-ját - nem kellett sok idő. Megkérte a szervezőket, hogy nyissanak meg egy megfelelően előkészített weboldalt, amely a saját exploit-ját tartalmazta. Millernek a sikeres támadás után azonnal alá kellett írnia egy nem közölhetőségről szóló nyilatkozatot (NDA), amelyben vállalta, hogy addig nem beszél a sebezhetőség részleteiről, amíg a szponzor, a TippingPoint nem értesíti a gyártót a hibáról. A kihasznált hiba valószínűleg egy, a Safari böngészőben levő sebezhetőség volt.

A részletek itt olvashatók.

Hozzászólások

azert vicces, hogy hiaba olyan szar a mac, megis az a fodij :)

proliverzum készített anno egy - azóta bibliává vált - szakmai tanulmányt, amelyben pontos időadatokat (törésteszt) és százalékos összehasonlítást is végez az egyes rendszerek biztonságára vonatkozólag

Bookmarkoltam is gyorsan, ha majd nagyon unatkozom elolvasom mégegyszer :-D

Kulcsszavak: W$, Vezetőink, herdver

Kivonat (olyan mint a kötelező olvasmányok rövidítettjei :D):

"United States Army Publishing Agency (Tehát az amerikai hadsereg!!!)"
"A kínaiak, Japán és Korea pedig összefogtak, hogy kifejlesszenek egy ázsiai Linuxot (mert nekik olyan különleges „betűik” vannak)"
"vírus ... önmagukat szexképnek tüntetik fel ... mások gépeire is „átmászhat”"
"amint egy hal is csak a vízben élhet ... a halat a vízből kiemelve magas hegytetőre vagy sivatagba viszik"
"Komoly tesztek bizonyítják, hogy egy Windows XP rendszert egy közepesen képzett hekker néhány óra alatt „tör fel” ... egy Linux rendszernél azonban ez egy nagyon profi hekkernek is néhány hetébe kerül – ha egyáltalán sikerül neki"
"(lassan itt a nyakunkon a Windows Vista is)"
"Bill Gates ... gátlástalan .. közepes szintű programozó .. rajtam többé nem fog nyerészkedni"
"MS-DOS .. operációs rendszer-szerű termék .. Unix gyenge kivitelű, csökken képességű változata"
"Microsofték ... aljas trükk .. szándékos "biztonsági rések" .. Winfos ... mint a drogkereskedők .. írtó ciki"
"Linux .. szoftvertechnológia csúcsa .. komolyabb rendszer"

És a kegyelemdöfés a Linux mellett: "szegény ember vagyok, a szőr feláll a hátamon a gondolatra ha pénzt kell kiadnom valamiért"

Bocs Poliverzum, de a Linux népszerűsítése a felsővezetők körében nem abból kellene álljon, hogy 30 oldalon keresztül fikázod a Microsoft-ot, a pontatlanságokról, szándékos csúsztatásokról nem is beszélve, ez így bullshit. És különben is Microsoft ügynök vagy, mert nálad nagyobb érvet soha nem tudnék felhozni a Linux ellen :P
_______________________________________________
Keep It Arch Linux | Simple Xfce | Stupid! Fluxbox

"Pontszámokban kifejezve, ha a VMS biztonságértéke 100, akkor egy jól beállított UNIX alapú rendszer értéke mintegy 80-90 lehet, a legnagyobb szakértelemmel beállított, legújabb W$ rendszeré pedig nagy jóindulattal talán 20. Komoly tesztek bizonyítják, hogy ..."

"Léteznek persze nagyon jó víruskereső programok Linux alá is, de ezeket arra szokták használni, hogy ha a Linux egy szerver gépen fut, s e szerver gép olyan gépeket szolgál ki, melyeken W$ van, akkor e linuxos vírusellenőrző program e windózos gépeket védi a windózos vírusoktól, mint a kotlós a csibéit a sas­madártól!"

:)

Ez viszi a pálmát:

"Tehát megismétlem: a vállalatvezetés akkor cselekszik a leghelyesebben, ha a winfosos licenszeket nemcsak nem használja fel, nemcsak kidobja a szemétbe amúgy papírosostul, CD-sestül, felbontatlanul, de egyenesen légmentesen lezárt tartályokba helyezi el őket, és a veszélyeshulladék-tárolóba dobja bele, hogy meg ne fertőzhessen más, gyanútlan, jobb sorsra érdemes felhasználókat!"

winfosos ... szemétbe ... CD-sestül... vesuélyeshulladék-tárolóba ... ne fertőzhessen ...

Na ettől már nem is lehet komolyan venni

Es az Apple meg mindig nem kereste meg allasajanlattal?

Ügyes! :)

--
Sokan nincsenek tudatában annak, / hogy egyszer mindenki meghal. / Akik ráébrednek erre, / azonnal abbahagyják az ellenségeskedést.

Maximálisan megérdemli a srác! S azért elsöröznék vele, dumálnánk erről-arról... :)

--
[Random Topical Haiku] (Slashdot.org) I've Got A Cool Site. What The Fuck? So Much Traffic! Now My Server's Down

Biztos azért a Mac-et törték fel a legelőször mert a Safari a leggyorsabb :)

"( Lory | 2008. március 28., péntek - 12:24 )" -ra valasz:
Vaaaaaa... ez nagyon fajt...
Azert enniyvel gyorsabb nem lehet =P

De azert a kedves uriember azert tudhat valamit =)
--
by lightgod

Ja, ha ekkora nagykirályok vagytok, akkor meg tudnátok mondani, hogy honnan lehet letölteni ezt az exploitot, meg összedobnátok egy howto-t, hogyan is kell használni? Valószínűleg azért adtak neki 10K-t, mert eddig még ismeretlen exploitot használt. Ez ugyanis alapfeltétele annak, hogy a TippingPoint fizessen. Olvassátok el előbb a Zero Day Inititative feltételeit, mielőtt nekiálltok hülyeségeket beszélni, hogy fogta letöltötte.

--
trey @ gépház