Zwycięzca PWN2OWN: za rok włamię się do Linuksa - dla zabawy

PC World 2 kwietnia 2008 11:28 Daniel Cieślak
Shane Macaulay jest jednym z dwóch zwycięzców zakończonego w miniony piątek konkursu hakerskiego PWN2OWN - to on zdołał włamać się przez lukę w oprogramowaniu Adobe Flash do systemu Windows Vista. Krótko później Macaulay wystawił wygrany komputer na eBay'u - jednak aukcja została błyskawicznie anulowana przez pracownika serwisu aukcyjnego, ponieważ "była niebezpieczna dla użytkowników". W wywiadzie udzielonym Robertowi McMillanowi z IDG News Service Macaulay tłumaczy, że chciał w ten sposób sprawdzić, ile na wolnym rynku może być warta informacja o poważnym błędzie w popularnej aplikacji i zapowiada, że za rok - w kolejnej edycji PWN2OWN - być może włamie się do Linuksa...
Notebook Fujitsu (wraz z zapisanym na dysku exploitem), który Shane Macaulay otrzymał jako jedną z nagród za włamanie się do Visty, pojawił się w amerykańskim eBay'u wczoraj - na początku wydawało się, że to może być dowcip z okazji 1 kwietnia. Decyzja hakera wydawała się bardzo nierozsądna i sprzeczna zarówno za regulaminem konkursu PWN2OWN (przewiduje on, że zwycięzca nie ma prawa ujawnić szczegółowych informacji o błędzie przed przygotowaniem poprawki przez producenta), jak i z zasadami przeprowadzania aukcji w eBay (serwis zabrania sprzedawania informacji o nowych lukach). Macaulay tłumaczy jednak, że wszelkie zarzuty są chybione - aukcja miała zakończyć się dopiero 8 kwietnia, a do tego czasu gotowa będzie poprawka na ową lukę. Jego zdaniem nabywca komputera miałby doskonałą okazję, by dokonać samodzielnej analizy zawartości dysku i samodzielnie odkryć lukę i exploita - tak przynajmniej wynikało z opisu aukcji. Niestety, w zaledwie kilka godzin po rozpoczęciu aukcji została ona usunięta przez pracownika eBay'a - o szczegółach tego incydentu Shane Macaulay opowiedział w wywiadzie udzielonym IDG News Service.

IDG News Service: Dlaczego postanowiłeś sprzedać notebooka na eBay'u?

Shane Macaulay: Przede wszystkim chciałem się zorientować, jaka może być rynkowa cena exploita typu '0 day' [tzn. takiego, który korzysta z niezałatanej jeszcze przez producenta luki - red.]. Uzyskanie takiej informacji jest niezmiernie trudne - choćby dlatego, że narusza to zasady eBay'a.

Wcześniej byłem już zaangażowany w kilka prób sprzedaży takiego "towaru" i mniej więcej wiem, jak to wygląda i jakie pojawiają się problemy. Gdy trafisz na uczciwego nabywcę - czyli np. firmę czy zespół, który chce kupić informację o luce i przeprowadzić własne analizy dotyczące bezpieczeństwa - to zwykle musisz mu najpierw udostępnić kod zanim otrzymasz pieniądze (chodzi o sprawdzenie, czy jest on wart tych pieniędzy). Ale wtedy nie masz już swojej karty przetargowej - kupujący może np. zażądać obniżenia ceny, a skoro zna już szczegółowe informacje o luce, to nie bardzo możesz dyskutować. Istnieje więc niebezpieczeństwo, że osoba która poświęciła mnóstwo czasu i pieniędzy na znalezienie informacji o błędzie nie będzie w stanie na tym zarobić.

Zwycięzca PWN2OWN
Shane Macaulay jest jednym z dwóch zwycięzców tegorocznej edycji konkursu PWN2OWN ("Przejmij i wygraj") - jego wyczyn polegał na włamaniu się do systemu Windows Vista poprzez lukę w zainstalowanej w nim aplikacji Adobe Flash. Macaulay dokonał tego dzięki pomocy kolegów, Aleksandra Sotirowa i Dereka Callawaya.

Warto wspomnieć, że Macaulay wygrał III, teoretycznie najłatwiejszy etap konkursu - regulamin tej części dopuszczał włamanie się do systemu poprzez lukę w aplikacji stworzonej przez zewnętrzną firmą. Etap I i II były zdecydowanie trudniejsze - w pierwszym należało włamać się do systemu zdalnie, poprzez jedną z domyślnie uruchomionych w nim aplikacji lub usług (w tej części nikt nie zdołał sforsować zabezpieczeń Ubuntu Linux, Mac OS X oraz Windows Vista). W II etapie - w którym atakować można było system operacyjny i dołączone do niego aplikacje siedząc przed komputerem - zwycięzcą został Charlie Miller, który potrzebował niespełna 2 minut na włamanie się do MacBooka Air z Mac OS X (przez lukę w przeglądarce Safari). Więcej informacji na temat konkursu znaleźć można w tekście "PWN 2 OWN: Mac pierwszą ofiarą".


Zdziwiłeś się, gdy eBay usunął aukcję?

Nie, bo trochę się pospieszyłem - rozpocząłem aukcję zanim wysłałem do eBay'a list, w którym zamierzałem dokładnie wytłumaczyć moje zamiary. Chciałem im powiedzieć - "Ta aukcja jest zgodna z waszym regulaminem i z zasadą nie sprzedawania informacji o lukach typu '0 day' ustanowioną przez sponsora PWN2OWN. Rzeczywiście wystawiony produkt ma aktualnie status '0 day' - ale w momencie zakończenia aukcji już tak nie będzie".

To był mój pomysł na rozpoczęcie licytacji i poznanie choćby orientacyjnej ceny exploita gdy luka wciąż zaliczała się do kategorii '0 day'.

1  2 


Podziel się |

Komentarze (17)

  • max
  • 2008-04-02 11:50:49

"Shane Macaulay (po prawo)" ludzie co to za bełkot?!

  • Zeke
  • 2008-04-02 11:54:04

Podobno tak mówią "warszawiacy" :) . Co nie zmienia faktu, że to błąd.

  • Redakcja
  • 2008-04-02 12:05:31

@ Max, Zeke - błąd poprawiony. Dziękujemy za uważną lekturę i sygnał ;)

  • scoobydoobydoo
  • 2008-04-02 12:27:33

Dobrze że poprawione, ale o co chodzi w "pomógł mu w wygraniu konursu". Ja też chce wygrać jakiś konurs... :)

  • popdruid
  • 2008-04-02 12:49:06

Co do tego linuxa i wyższości jednego systemu na drugim to ma trochę racji ale w linuxie sie chyba będzie musiał faktycznie "doszkolić" bo tu już nie jest tak różowo... :-)) A te dylematy przy sprzedaży to po prostu samo życie...

  • Gf
  • 2008-04-02 13:38:50

Trzymamy za słowo! Prosimy o załatwienie ubuntu. A najlepiej jak by po prostu kupicprofesjonalna analize i placic za znajdowanie bledow. Potem wytypowac referencyjny sprzet (lista) i zamrozic taki system na 5 lat. Zero nowych funkcjonalnosci. zero upgrade nie zwiazanego z bezpieczenstwem.

  • kiernek
  • 2008-04-02 16:43:48

pisze się w 1os: za rok włamę się. chyba nawet poz tym nie ma s łowa włamię w jakiejkolwiek formie

  • ziąąą
  • 2008-04-02 17:37:27

nie ma systemów doskonałych, więc dlaczego nie? jak będzie to system domyślnie zainstalowany to będzie miał łatwiejsze zadanie. chociaż w wypadku linuxa ma trudniejsze zadanie - wszystkie luki bezpieczeństwa w oprogramowaniu opensource są łatane i udostępniane bardzo szybko po ich wykryciu, może poza plajerem vlc;/ wogóle taki konkurs jest porażką. włamywanie się do domyślnie skonfigurowanych kompów. bardziej emocjonujący byłby pojedynek hakierów na zasadach "last man standing" tzn każdy ma kompa którego musi bronić i jednocześnie hackować kompy przeciwników. ten kto przetrwa zostaje zwycięzcą. to by było coś COOL

  • Robert
  • 2008-04-02 22:00:47

No, a za dwa lata pewnie poleci na księżyc ??? Brednie gościu wygaduje, bo za rok, klasa bezpieczeństwa systemu Linux, wzrośnie nieporównywalnie do stanu obecnego :)))

  • pfffffff
  • 2008-04-02 22:10:22

[i zapowiada, że za rok - w kolejnej edycji PWN2OWN - być może włamie się do Linuksa...] Czyli przez cały rok będzie szukał dziury i się wtedy włamie, a za trzy godziny po włamaniu będzie łata.

  • ~gość
  • 2008-04-02 23:43:52

A ja mam nadzieję, że za rok nie będą używać Ubuntu, bo to jest dystrybucja, której jeszcze wiele brakuje do czołówki pod względem bezpieczeństwa. Proponuję RHEL'a lub SLES'a (ze wskazaniem na tego pierwszego).

  • ~gość
  • 2008-04-02 23:45:50

A ja mam nadzieję, że za rok nie będą używać Ubuntu, bo to jest dystrybucja, której jeszcze wiele brakuje do czołówki pod względem bezpieczeństwa. Proponuję RHEL'a lub SLES'a (ze wskazaniem na tego pierwszego ze względu na mandatową kontrolę dostępu – pan Macaulay będzie mógł go cmoknąć w AVC).

  • OBRYTY KOZAK
  • 2008-04-03 14:19:05

JEśLI Z NIEGO TAKI KOZAK (Shane Macaulay) to dlaczego nie włamał się do systemu w ciągu 1-go dnia konkursu ???

  • mac
  • 2008-04-04 09:07:39

bo sie nie dalo hehehe. Wiesz... jak przygotujesz odpowiedni skrypt a potem ja w niego klikne i jeszcze zatwierdze ze zgadzam sie na cos tam to nic dziwnego ze mu sie udalo wlamac. To troche jak z tym azerbejdzanskim wirusem ktory nawoluje zeby sobie sakasowac dwa pliki sysstemowe i przeslac wiadomosc dalej. Jak user jest glupi to mu zaden system nie pomoze. Tak samo jak ustawienie hasla takiego jak login w mailu :D

  • Piotr
  • 2008-04-04 09:17:51

facet idzie na łatwiznę. Wolał włamać się do jabłuszka czy visty po to łatwiejsze i lepiej zapłacą. W linuxie nim by się włamał to luka mogła by być nieaktualna. I kto by zapłacić?

  • ~gość
  • 2009-03-20 08:02:37

Koleś używa Linuksa i można zaryzykować że jest swego rodzaju fanatykiem. Pewnie takich ludzi jest więcej, dlatego nie włamują sie na Linuksa ponieważ byłoby to równe z powiedzmy, zabójstwem swoich rodziców.

  • ~vcxvxc
  • 2010-09-21 23:53:41

PWN2OWN ("Przejmij i wygraj") powaga?...

reklama

Popularne produkty

Nokaut
Telefon NOKIA X2

Telefon NOKIA X2

w 14 sklepach od 285,29 zł
Telefon NOKIA X2
Efekt Lolity. Wizerunek nastolatek we współczesnych mediach

Efekt Lolity. Wizerunek nastolatek we współczesnych mediach

w 18 sklepach od 23,36 zł
Efekt Lolity. Wizerunek nastolatek we współczesnych mediach
Sony Vaio VPC-EH2M1E

Sony Vaio VPC-EH2M1E

w 11 sklepach od 2371,80 zł
Sony Vaio VPC-EH2M1E

PC World z prezentem!

Tak, zamawiam 12 wydań PC World po 14,09 zł każde (zamiast 19,90 zł) od numeru 6/2012.
Dodatkowo program Panda Antyvirus Pro 2012,
chroniący aż 3 komputery, dostanę za darmo.

PC World 6/2012
Nowy numer PC World 6/2011
Razem: 169


  • Z darmową wysyłką
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
Warunki obsługi - Kontakt - Regulamin - Polityka prywatności
Serwis zgodny z ASME - Serwisy IDG - Reklama -
Prenumerata: PC World, Computerworld, Networld
© Copyright 2012 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001