Lako zaobilaženje zaštite kod Apple računara

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sigurnosni ekspert uspeo je da na takmičenju “uhakuje” najnoviji Appleov Mac Air laptop opremljen svim sigurnosnim zakrpama za manje od dva minuta, osvojivši za to nagradu od 10.000$ takmičenju, hakeri su se mogli okušati na Appleovom MacBooku (Mac OS X Leopard), Sonyjevom Vaiou VGN-TZ37CN (Linux Ubuntu 7.10) i Fujitsu-ovom U810 (Windows Vista Ultimate SP1). Pobednik kaže da je za hakovanje odabrao baš Apple računar - iz vrlo jednostavnog razloga:

“Od sva tri, njega je najlakše uhakovati, želeli smo da to bude što brže, pa smo izabrali Mac OS X Leopard operativni sistem,” objasnio je Charlie Miller, sigurnosni analitičar u Independent Security Evaluators (ISE), nekadašnji službenik američke National Security Agency (NSA). Organizatori takmičenja u kanadskom Vancouveru za to su mu predali nagradu od 10.000 dolara i - MacBook laptop.

MacBook Air za ovu priliku je bio “naoružan” svim poslednjim zakrpama, kao i takmaci. Naravno, priznaje Miller, za otkrivanje rupe u odbrambenom sistemu počeli su se pripremati nedelju dana ranije: trebalo im je par dana i ostatak nedelje za izradu taktike napada i test.

Pre takmičenja Miller je potpisao sporazum o tajnosti, pa tako ne znamo tačno što je napravio, ali znamo da je iskoristio bug u trenutnoj verziji Appleovog web browsera - Safari 3.1.

Pravila prvog dana dopuštala su samo remote mrežni napad, iskorištavajući istu ranjivu tačku, ali nitko nije osvojio nagradu (laptop i 20.000 dolara), jer sva tri laptopa su odolela ovim nasrtajima. Zadatak je bio da pročitaju sadržaj fajla koji se nalazio na sva tri računara.

Ali, drugog dana, hakeri su mogli da iskoristite rupu u bilo kojoj korisničkoj aplikaciji. Sony i Fujitsu su odoleli, Apple je pao kao trula jabuka.

Za to je Milleru trebala pomoć ‘korisnika’ (u skladu sa pravilima). Naveo ga je da ode na malicioznu web stranicu koju je sam kreirao specijalno za tu priliku. “Promenio sam mišljenje. Nekad sam mislio da je za napad najlakše iskoristiti rupe na serverskoj strani, sad mislim da je lakše na korisničkoj strani. Pomislite samo na pretraživač interneta. Postoji milion stvari koje on treba da napravi, bavi se slikama, videom, audiom,… a upravo tu danas leže opasnosti,” kaže Miller.

On je već poznat po kritikama Apple-a zbog sporog izdavanja zakrpa, ali ističe da su jednako tako mogli naći rupe i u Windowsima - samo da su to morali.


Izvor: http://www.personalmag.rs/?p=1806

Linux jedini izdržao


Takmičnje za hakere završilo se, po nekima, možda neočekivano sa MacBook Airom koji je prvi "propustio" napad, za njim je pala i Windows Vista, dok je kao jedini netaknuti operativni sistem ostao Linux.

Drugog dana takmičenja Čarli Miler iz kompanije Independent Security Evaluators probio je zaštitu na MacBook Airu i startovao sopstveni softver. Organizatori su zadržali pravo da ne objave koja je metoda korištena za napad kako ne bi dolazilo da zloupotreba, ali se zna da je cilj napada bio internet browser Safari.

Pobjednik je kući odnio nagradu od 10.000 dolara (prvobitni iznos od 20.000 prepolovljen je zbog toga što je napad uspio drugog dana) i laptop čiju je zaštitu zaobišao, a drugo mjesto pripalo je Šejnu Mekaloju.

Mekaloj je jedinstveni uspješni napad izveo na Fujitsu laptopu na kojem je bila instalirana Vista, dok je nepobjedivi Linux radio na Sony Vaio računaru.
Izvor: http://www.cafemontenegro.com/news_for_print.php?news=26772



I na engleskom
Vista, MacBook Out--Only Linux Left in Hacking Contest

The MacBook Air went first; a tiny Fujitsu laptop running Vista was hacked on the last day of the contest; but it was Linux, running on a Sony Vaio, that remained undefeated as conference organizers ended a three-way computer hacking challenge Friday at the CanSecWest conference.
Earlier this week, contest sponsors had put three laptops up for grabs to anyone who could hack into one of the systems and run their own software. A US$20,000 cash prize sweetened the deal, but the payout was halved each day as contest rules were relaxed and it became easier to penetrate the computers.

On day two, Independent Security Evaluators' Charlie Miller took the Mac after hitting it with a still-undisclosed exploit that targeted the Safari Web browser. After about two minutes work, Thursday, Miller took home $10,000, courtesy of 3Com's TippingPoint division, in addition to his new laptop.

It took two days of work, but Shane Macaulay, finally (zabranjeno)ed the Vista box on Friday, with a little help from his friends.

Macaulay, who was a co-winner of last year's hacking contest, needed a few hacking tricks courtesy of VMware researcher Alexander Sotirov to make his bug work. That's because Macaulay hadn't been expecting to attack the Service Pack 1 version of Vista, which comes with additional security measures. He also got a little help from co-worker Derek Callaway.

Under contest rules, Macaulay and Miller aren't allowed to divulge specific details about their bugs until they are patched, but Macaulay said the flaw that he exploited was a cross-platform bug that took advantage of Java to circumvent Vista's security.

"The flaw is in something else, but the inherent nature of Java allowed us to get around the protections that Microsoft had in place," he said in an interview shortly after he claimed his prize Friday. "This could affect Linux or Mac OS X."

Macaulay said he chose to work on Vista because he had done contract work for Microsoft in the past and was more familiar with its products.

Although several attendees tried to (zabranjeno) the Linux box, nobody could pull it off, said Terri Forslof, a manager of security response with TippingPoint. "I was surprised that it didn't go," she said.

Some of the show's 400 attendees had found bugs in the Linux operating system, she said, but many of them didn't want to put the work into developing the exploit code that would be required to win the contest.

Earlier, Miller said that he chose to hack the Mac because he thought it would be easiest target. Vista hacker Macaulay didn't dispute that assertion: "I think it might be," he said.


Izvor: http://news.yahoo.com/s/pcworld/20080329/tc_pcworld/143962

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Iako je bušan Mac ostaje moj san i imaću ga kad-tad samo zato što mnogo lepo izgleda.. Do tada se uzdam u linuks.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ja sam mislio da je situacija skroz drugačija. Mislio sam da je OS X sigurniji od Viste. Doduše, ovo moje mišljenje se odnosilo na Tiger ne na Leopard. Ziveo sam u zabludi. A i nisam baš neki expert za sigurnost.
Ali kao sto rece DEMIAN, sve su "mačke" iste. Predpostavljam da rezultat testa ima veze sa brzinom izdavanja zakrpa i brojem ljudi koji rade na sigurnosti sistema, ali i samoj arrhitekturi OS-a. Za linux, zakrpe radi mnogo vise ljudi od Viste ili OS X-a, M$ i Apple su zatvoreni sistemi i samo odredjeni broj ljudi radi na njemu.

Sve u svemu nijedan OS nije 100 % siguran, Ima više sigurnih i manje sigurnih.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Neko ovde lepo reče na forumu da je sigurnost više pitanje korisnika/admina koji upravlja mašinom nego pitanje OS-a koji koristi. Taj čovek dobro poznaje materiju i ja se apsolutno slažem sa njegovim utiskom. U te mitove tipa sigurnost je u malom broju, update za sistem je redovniji, znam šta mi trpaju u update jer svako može da vidi i analizira kod i sl.. neću uopšte da ulazim.

Da se ne ubacujem preteranu u diskusiju pošto nisam nešto posebno ni ispratio temu, ali moram da primetim da je iskorišćen propust u Safariju a ne u samom Mac OSX-u (mada se to može podvesti pod isto jer je Safari sastavni deo OSX paketa), da je Vista 'pala' na Javi (taj exploit radi i na drugim platformama), a da su za Linux nađeni bugovi ali niko nije imao volje/želje da dalje razvije exploit koji bi mu i doneo pobedu tj. omogućio mu da obezbedi neophodne privilegije kako bi i mogao da se 'ušeta' na tu mašinu. Došli ljudi da zarade, našli interesnu grupu i prošli tamo gde im je najmanje cimanje. 0day exploit za 10000$ autoru - kompanijama ostadoše milioni u šteku. Svi zadovoljni. Happy End

U slučaju Mac-a se lepo videlo kako napadač vara korisnika i navodi ga da uradi ono što je zamislio. To se zove social engineering tehnika za napad i od toga leka bukvalno nema
Velika i pametna riba uvek nađe način kako da će da izmanipuliše malo naivno riBče

Sve ostalo je dosta relativno/složeno i stručnjaci to analiziraju iz dana u dan kroz milion aspekta. Ova vest sa ovakvim naslovom lako može biti loše shvaćena ili tendeciozna.

To je moj utisak..

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ma ko će da se zeza sa linuksom. Jedan distro koristi .rpm drugi .deb treći nešto treće..

Mac je u većem problemu tu jer je Safari sastavni deo OSX-a, dok je kod Viste prošao preko plugin-a, ali se taj propust može srediti na drugi način.. Lindža ostade nedodirljiv..