Godfather Posted April 16, 2008 Share Posted April 16, 2008 В края на март по време на конференцията за информационна сигурност CanSecWest проведена във Ванкувър се състоя и традиционното състезание за хакери "PWN to OWN". Идеята на състезанието е да се взломи съответната ОС (MAC OS X, Windows Vista и Linux) чрез експлоатиране на т.нар. "zero day" уязвимости, т.е. такива, които все още не са публично известни. Понеже и трите лаптопа са с инсталирани последните версии на съответните ОС и всички възможни пачове, няма друга възможност освен експлоатирането на все още неизвестни уязвимости. На втория ден от състезанието, първи падна жертва на хакерите MacBook Air машината и победителя отнесе лаптопа плюс награда от $10,000. До началото на третия ден от състезанието, останалите две машини с Vista Ultimate SP1 и Ubuntu Linux се държаха геройски и съдиите се принудиха да включат и списък от популярни приложения, за да се даде шанс на хакерстващите. В крайна сметка това даде възможност за пропукване гарда на Vista машината и тя беше взломена от Shane Macaulay (Security Objectives) с помощта на колегите си Derek Callaway от съшата фирма и бълграския специалист по информационна сигурност Александър Сотиров от Determina Inc, Redwood City , CA. За осъществяване на пробива е експлоатирана уязвимост в Adobe Flash. Единствено лаптопът с Ubintu Linux устоява геройски на напъните на хакерската общност. Повече инфо тук и тук. Link to comment Share on other sites More sharing options...
Ferante Posted April 17, 2008 Share Posted April 17, 2008 а аз си мислех, че MAC OS е надеждна... Поздравления на момчетата Link to comment Share on other sites More sharing options...
deflax Posted April 18, 2008 Share Posted April 18, 2008 Все пак става въпрос за 0-day exploits. А такива винаги има... въпрос на време е да се открият. Единствения сигурен компютър е изключеният от копчето и заключен в сейф. И пак не е много сигурно... Link to comment Share on other sites More sharing options...
wbyte Posted April 21, 2008 Share Posted April 21, 2008 за локоално експлойтване ли става дума? Локалното експлоатиране е прекалено лесно за да бъде предмет на подобно състезание с такива награди. Участниците разполагаха само с crossover връзка директно към мрежовия интерфейс на съответния лаптоп. за osx не коментирам - версиите им преди няколко години имаха qtss, който с една ";" exec-ваше команди като root . Но за виста ми е малко неясно, щом е използван флаш бъг - какво общо има флашът с някой daemon Link to comment Share on other sites More sharing options...
Godfather Posted April 22, 2008 Author Share Posted April 22, 2008 за локоално експлойтване ли става дума? Локалното експлоатиране е прекалено лесно за да бъде предмет на подобно състезание с такива награди. Участниците разполагаха само с crossover връзка директно към мрежовия интерфейс на съответния лаптоп. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.