Hacker v súťaži prenikol do Mac OS X a vyhral 10 000 USD

Súťaž Hack a Mac sa uskutočnila v dňoch 18–20. apríla 2007 vo Vancouvri (Canada, British Columbia), organizátori pripravili súťažiacim MacBooky Pro so všetkými poslednými aktualizáciami a záplatami systému Mac OS X Tiger. Hackeri mali k týmto notebookom sieťový prístup cez wi-fi alebo klasický káblový ethernet. Víťaz si mohol napadnutý nový MacBook Pro vziať ako výhru.

Za 24 hodín sa žiadnemu hackerovi nepodarilo do počítača preniknúť. V súťaži určite neboli žiadni amatéri, takže prvý súťažný ďen sa dal považovať skôr za preukazovanie niekoľkých mesiacov alebo rokov skúseností v oblasti bezpečnosti. Druhý deň súťaze sa pravidlá museli zmeniť a zjednodušiť. Útočníci mohli vyskúšať aj URL útok na počítače, čo znamená, že užívateľ musí vo svojom internetovom prehliadači otvoriť zámerne pripravenú škodlivú webstránku, aby umožnil hackerovi vstup do systému.

Víťazom sa nakoniec stal po deviatich hodinách nových pravidiel hacker Dino Dai Zovi, ktorému sa touto cestou podarilo nastaviť shell na vzdialený prístup. Po otvorení infikovanej URL v prehliadači Safari sa teda môže hacker z internetu pripojiť na Váš Mac pod administrátorským účtom a voľne narábať so systémom a dátami. Dai Zovi si odniesol 10 000 USD a nazval svoj počin skôr len šťastím a náhodou, keďže predtým sa mu nič také nepodarilo.

Detaily prieniku samozrejme zatiaľ neboli zverejnené, aby sa z hacku nestal hromadný útok na užívateľov. Zaintersovaní tvrdia, že bezpečnostná diera nevyužíva automatické otváranie „bezpečných“ súborov DMG (ako v minulosti), ale chybu v Jave. Je teda viac než pravdepodobné, že chyba sa netýka len Safari, ale aj Firefoxu, Camina alebo ďalších. Preto sa aspoň zatiaľ Java odporúča vypnúť. V každom prípade je to trochu znepokojujúce. Ako môže Java sprístupniť remote shell konto? Hlbšie detaily sa pravdepodobne dozvieme neskôr – po vydaní záplaty.

(zdroj: http://www.macrumors.com, http://daringfireball.net)

komentárov
  1. Tedy stačí mít vypnutou Javu (nikoliv JavaScript) v prohlížeči a chybu nelze využít? Na jakémkoliv systému Javu v prohlížeči automaticky vypínám.

    Za 24 hodin se neprolomili? To nevypadá tak špatně ne?

    0
    0
  2. vita: S povodnymi pravidlami by sa neprelomili ani za niekolko mesiacov :) Preto sa pravidla zjednodusili a po prvom dni uz mohli pouzivat hackeri aj amaterske „hacky“, ako napr. infikovane URL.

    Udajne staci vypnut Javu.

    0
    0
  3. ako to bolo, windows bez antiviru/spybota sa infikuje do piatich minut po pripojeni na internet bez akejkolvek interakcie uzivatela? :)

    0
    0
  4. Wow, až hodinu!

    Hm, trochu off-topic, ale mám jednu dilemu. Kúpiť Macbook (Pro) teraz v máji alebo až v júni (počul som niečo o LED displayoch), alebo až v októbri rovno aj s Penrynom a Leopardom? Jediný problém je, že čím skôr, tým lepšie… (Momentálne frčím na iMac DV – 400MhzG3)

    0
    0
  5. Trošku bych chtěl zkrotit nadšení přítomných rozjuchaných přispěvatelů. Píšete, že v soutěži rozhodně nebyli žádní amatéři. Mě spíš zajímá jestli můžete říct, že tam byli skuteční hackerští profesionálové. Pokud ne, jedná se i přes určitou publicitu o podnik maximálně druhořadého významu, o kterém skutečná elita neměla ani tušení… A to pak přirozeně definuje i „hodnotu“ takového pokusu.

    0
    0
  6. Tak :) Ti skutečně dobří se moc veřejně nepresentují.

    Ale radost můžete mít, dělá to dobře na duševní zdraví :)

    0
    0
  7. Chuan Torena: Ked sa na to pozeras takto, tak skutocni profesionali (ak nejaki existuju) su tajni a inteligentni – urcite nehackuju beznych ludi na internete. Nepredstavuju pre nas rizika, hackuju ovela vyssi level. Rizika pre nas predstavuju taki ludia ako na tej sutazi. Polohackeri co sa radi zviditelnuju. Nikto nevravi, ze Unix/Mac OS X je nehacknutelny… Ale ze sa to „sturalom“ za 24 hod nepodarilo.

    0
    0
  8. Já nechci nijak snižovat velice slušnou úroveň bezpečnosti MacOSX. Také si rád užívám „virového klidu“ na MacOSX:) Jenže tyhle soutěže jsou přinejmenším velice diskutabilní. To není reálný svět.
    Windows jsou denně vystaveny desítkám či stovkám útoků od baby hackerů až po opravdový dravce. A to je velice masivní útok. Proto také tvrdím, že Windows na tom nejsou s bezpečností tak špatně, jak se na Apple serverech s oblibou píše.
    A nesouhlasím s tím, že Hitech hackeři pro nás nepředstavují větší riziko než ti průměrní soutěžící. Protože právě ta špička obvykle nalézá, vytváří, definuje a následně zveřejňuje ty nejnebezpečnější díry v OS. A ty pak využívá hackerský mainstream.

    0
    0
Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *



Články, ktoré by sa vám mohli páčiť
Apple iPhone 14
pokračovanie článku

Apple už o niekoľko dní ukončí predaj starších iPhonov v EÚ

Januárom 2025 nevstupujeme len do nového kalendárneho roka, ale aj do novej etapy fungovania v EÚ. Počnúc prvým dňom budúceho roka vstupuje do platnosti nariadenie, ktoré zakazuje predávať mobilnú elektroniku s inou koncovkou ako je USB-C. A teda to znamená, že Apple oficiálne bude nútený ukončiť predaj starších iPhonov v EÚ.
pokračovanie článku

Apple zvažuje 5G pripojenie pre MacBook a Vision Pro

Písal sa rok 2008 a na internete sa objavili prvé fámy, že Apple pripravuje MacBook s mobilným dátovým pripojením. Správy vtedy komentoval aj Steve Jobs, keď potvrdil, že napokon sa rozhodli nepokračovať v tejto iniciatíve.