Obiekt: MacBook Pro. Cel: włamanie. Nagroda: 10 tys. USD

Digit 24 kwietnia 2007 09:27 Ludwik Krakowiak
W trakcie zorganizowanej w Vancouver konferencji CanSecWest (poświęconej tematyce bezpieczeństwa komputera) zorganizowano nietypowy konkurs. Jego uczestnicy musieli bowiem włamać się do komputera MacBook Pro, za co przewidziano nagrodę w wysokości 10 tys. dolarów.
Jak przekonuje jeden z organizatorów konferencji, Dragos Ruiu, ideą konkursu było zwrócenie uwagi na kwestie bezpieczeństwa dotyczące produktów firmy Apple. "Coraz więcej osób używa Mac OS X, twierdząc, iż to bezpieczny system, a szczerze mówiąc, Microsoft przykłada więcej wagi do bezpieczeństwa niż Apple", przekonywał Ruiu.

Konkurs początkowo przeznaczony był tylko dla zaproszonych uczestników konferencji, którzy mieli włamać się do komputera przez bezprzewodowy punkt dostępowy. Początkowe zasady konkursu przewidywały stworzenie exploita atakującego komputer bez interakcji użytkownika - nagrodą za to był rzeczony MacBook Pro. Uczestnicy konferencji nie powitali tego z entuzjazmem, licząc się z ryzykiem, że exploit taki mógłby być sprzedany nawet za 20 tys. USD.

Zasady jednak zmieniono. Udział w zawodach umożliwiono użytkownikom nieobecnym na konferencji - mogli oni w konkursie wykorzystać również exploity w postaci "złośliwych" stron internetowych; dodano też do listy nagród premię pieniężną. Włamanie do MacBooka Pro udało się nowojorczykowi o nazwisku Dino Dai Zovi, który w ciągu niecałych 12 godzin pracy wykrył i wykorzystał lukę w odtwarzaczu QuickTime, co pozwoliło mu uzyskać pełną kontrolę nad atakowanym systemem.

Zwycięzca oprócz nagrody pieniężnej otrzymał również MacBooka Pro 2,3 GHz z 15-calowym wyświetlaczem, do którego wcześniej się włamał.

W związku z opisanym konkursem pojawiły się też opinie, że data udostępnienia ostatniego pakietu uaktualnień dla produktów Apple nie była przypadkowa.

Więcej infomacji: The Register

Aktualizacja 26 kwietnia 2007 08:08

Błąd, który wykorzystał zwycięzca konkursu, znajdował się nie w przeglądarce Safari, jak wcześniej donosiliśmy, ale w odtwarzaczu QuickTime.

Eksperci ds. komputerowego bezpieczeństwa ostrzegają, iż zagrożeni exploitem mogą być nie tylko użytkownicy Mac OS, ale wszyscy internauci korzystający z przeglądarek internetowych z włączoną obsługą Javy.



Podziel się |

Komentarze (11)

  • hind
  • 2007-04-24 13:48:38

chyba 3 godziny ;p

  • AV
  • 2007-04-24 13:58:16

Nie, bo w Polsce prawie nikt nie używa Mac OS, więc wiedza o tym systemie jest znikoma ;-)

  • Edi
  • 2007-04-24 18:05:35

Nie wiem jak w Warszawce, ale na krakowskim AGH jest cała pracownia z maczkami.

  • popdruid
  • 2007-04-24 19:02:48

Hmmm... No - zbuduj samolot a damy ci 5000 PLN za wygraną w konkursie... Młotki, śrubokręty i cała reszta są twoje... :-))

  • abc
  • 2007-04-25 08:00:42

no i w artykule są błędy: nie w Safari, tylko w QuickTime, a dokładnie umożliwienie uruchomienia javy (a nie javascript), Mozilla przyzaje, że taki sam sposób wlamania można zastować także dla systemu windows i ich przeglądarek (Firefox i Mozilla). więcej info: http://news.softpedia.com/news/CanSecWest-Winner-Is-A-QuickTime-Flaw-52907.shtml

  • Autor
  • 2007-04-26 08:25:47

@Abc - nie wiem czy błędy, może raczej nieścisłe informacje - we wszystkich źródłach z których korzystałem pisząc ten tekst była mowa o Safari i JavaScript; dopiero potem skorygowano te doniesienia. Co i ja uczyniłem w treści newsa.

  • grafmarr
  • 2007-04-26 09:42:34

W aktualizacji warto podać, że wykorzystana do tego włamania luka, dotyczy również systemu Windows we wwszystkich odmianach jeśli korzysta z QuickTime''a z wtyczką Javy.

  • Mikołaj
  • 2007-04-26 18:13:25

Hak pozwolił na dostęp do konta użytkownika a nie admina. Co oznacza że poniższy cytat z artykułu jest NIEPRAWDĄ. "co pozwoliło mu uzyskać pełną kontrolę nad atakowanym systemem" Oto co może haker: uzyskać dostęp read-write do plików użytkownika skasować pliki użytkownika Oto czego haker nie może: Haker nie może na stałe nic zainstalować - aplikacji itp Haker nie może zainstalować nowych aplikacji (ale może je uruchomić na czas trwania sesji logowania) Haker nie może URUCHOMIĆ albo zainstalować żadnych złośliwych aplikacji typu: podglądające klawiaturę, żadnych dodatków do Mail''a Safari itp. bo do tego wymaga się hasła. Proszę o korektę. Pozdrawiam.

  • zaq
  • 2007-04-26 21:17:45

Mogliby poprawić Safari bo nie pozwala parsować XML :(

  • piotrek
  • 2007-04-27 09:17:10

Safari 2 bardzo ładnie parsuje xml''a

  • tomi0011
  • 2008-11-07 23:15:55

Witam, mam zamiar napisać pracę inżynierską(!) o bezpieczeństwie sieci w standardzie 802.11 (WLAN) i potrzeba mi obiektywnego, aktualnego spojrzenia na bezpieczeństwo sieci na rok 2008/2009. *Co w takiej pracy ująć (trochę o historii?) a jak się mają sprawy z przyszłością?? *Na czym się najbardziej skupić gdyż jak wiadomo jest to szeroki temat od WEP i RC4 aż do 802.1X(RADIUS) (może dalej?). Czekam na sugestie, bardziej doświadczonych internautów i kolegów z serwisu! Nie oczekuje odpowiedzi w stylu"Google.pl" gdyż mój temat jest inny niż wszystkie, jasne jest to że pisze pracę inż. pierwszy raz i chodzi mi o to że chcę usłyszeć od Was co proponujecie Wy, wasze zwięzłe sugestie i propozycje, linki, sprzęt? Dużo w Internecie jest materiałów z 2000-2003 o WEP ale ja chcę stworzyć godną inżynierską pracę i "na czasie". *Może jakieś pomysły na cześć praktyczną? *Myślę że nie przypadkowo trafiliście na tą stronę i udzielicie mi info, może mieliście/macie podobny temat i pragniecie się czymś podzielić? Każda drobna sugestia będzie dla mnie pomocna! Liczę na Wasza wyrozumiałość i poświęcenie minutki, pozdrawiam i dziękuje serdecznie! :) tomi0011@wp.pl

reklama

Popularne produkty

Nokaut
Spodnie Nife Donna Sd03

Spodnie Nife Donna Sd03

w 5 sklepach od 105,53 zł
Spodnie Nife Donna Sd03
4M Zrób to sam Sprytny robot

4M Zrób to sam Sprytny robot

w 20 sklepach od 6,24 zł
4M Zrób to sam Sprytny robot
Ocalona z piekła. Wyznania byłej modelki

Ocalona z piekła. Wyznania byłej modelki

w 6 sklepach od 21,29 zł
Ocalona z piekła. Wyznania byłej modelki

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
Warunki obsługi - Kontakt - Regulamin - Polityka prywatności
Serwis zgodny z ASME - Serwisy IDG - Reklama -
Prenumerata: PC World, Computerworld, Networld
© Copyright 2012 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001