Súťaž Hack a Mac sa uskutočnila v dňoch 18–20. apríla 2007 vo Vancouvri (Canada, British Columbia), organizátori pripravili súťažiacim MacBooky Pro so všetkými poslednými aktualizáciami a záplatami systému Mac OS X Tiger. Hackeri mali k týmto notebookom sieťový prístup cez wi-fi alebo klasický káblový ethernet. Víťaz si mohol napadnutý nový MacBook Pro vziať ako výhru.
Za 24 hodín sa žiadnemu hackerovi nepodarilo do počítača preniknúť. V súťaži určite neboli žiadni amatéri, takže prvý súťažný ďen sa dal považovať skôr za preukazovanie niekoľkých mesiacov alebo rokov skúseností v oblasti bezpečnosti. Druhý deň súťaze sa pravidlá museli zmeniť a zjednodušiť. Útočníci mohli vyskúšať aj URL útok na počítače, čo znamená, že užívateľ musí vo svojom internetovom prehliadači otvoriť zámerne pripravenú škodlivú webstránku, aby umožnil hackerovi vstup do systému.
Víťazom sa nakoniec stal po deviatich hodinách nových pravidiel hacker Dino Dai Zovi, ktorému sa touto cestou podarilo nastaviť shell na vzdialený prístup. Po otvorení infikovanej URL v prehliadači Safari sa teda môže hacker z internetu pripojiť na Váš Mac pod administrátorským účtom a voľne narábať so systémom a dátami. Dai Zovi si odniesol 10 000 USD a nazval svoj počin skôr len šťastím a náhodou, keďže predtým sa mu nič také nepodarilo.
Detaily prieniku samozrejme zatiaľ neboli zverejnené, aby sa z hacku nestal hromadný útok na užívateľov. Zaintersovaní tvrdia, že bezpečnostná diera nevyužíva automatické otváranie „bezpečných“ súborov DMG (ako v minulosti), ale chybu v Jave. Je teda viac než pravdepodobné, že chyba sa netýka len Safari, ale aj Firefoxu, Camina alebo ďalších. Preto sa aspoň zatiaľ Java odporúča vypnúť. V každom prípade je to trochu znepokojujúce. Ako môže Java sprístupniť remote shell konto? Hlbšie detaily sa pravdepodobne dozvieme neskôr – po vydaní záplaty.
(zdroj: http://www.macrumors.com, http://daringfireball.net)
komentárov
Tedy stačí mít vypnutou Javu (nikoliv JavaScript) v prohlížeči a chybu nelze využít? Na jakémkoliv systému Javu v prohlížeči automaticky vypínám.
Za 24 hodin se neprolomili? To nevypadá tak špatně ne?
vita: S povodnymi pravidlami by sa neprelomili ani za niekolko mesiacov :) Preto sa pravidla zjednodusili a po prvom dni uz mohli pouzivat hackeri aj amaterske „hacky“, ako napr. infikovane URL.
Udajne staci vypnut Javu.
… alebo nespustat kadejake nezname prichadzajuce url, nie? :)
Za 24 hodin ani tuk, tak to sme na tom celkom dobre… (oproti inym :D )
ako to bolo, windows bez antiviru/spybota sa infikuje do piatich minut po pripojeni na internet bez akejkolvek interakcie uzivatela? :)
toxygen: to len Windows 2000 … pri Windows XP sa im to podarilo predlzit az na 1 hodinu
Wow, až hodinu!
Hm, trochu off-topic, ale mám jednu dilemu. Kúpiť Macbook (Pro) teraz v máji alebo až v júni (počul som niečo o LED displayoch), alebo až v októbri rovno aj s Penrynom a Leopardom? Jediný problém je, že čím skôr, tým lepšie… (Momentálne frčím na iMac DV – 400MhzG3)
mna by len zaujímalo, ako (by) toto okomentoval isty nemenovany Radek H.
dex: http://forum.www.macblog.sk/discussion/199/kedy-kupovat-macbook-pro/
Trošku bych chtěl zkrotit nadšení přítomných rozjuchaných přispěvatelů. Píšete, že v soutěži rozhodně nebyli žádní amatéři. Mě spíš zajímá jestli můžete říct, že tam byli skuteční hackerští profesionálové. Pokud ne, jedná se i přes určitou publicitu o podnik maximálně druhořadého významu, o kterém skutečná elita neměla ani tušení… A to pak přirozeně definuje i „hodnotu“ takového pokusu.
Tak :) Ti skutečně dobří se moc veřejně nepresentují.
Ale radost můžete mít, dělá to dobře na duševní zdraví :)
Chuan Torena, Bufo: suhlas :)
Chuan Torena: Ked sa na to pozeras takto, tak skutocni profesionali (ak nejaki existuju) su tajni a inteligentni – urcite nehackuju beznych ludi na internete. Nepredstavuju pre nas rizika, hackuju ovela vyssi level. Rizika pre nas predstavuju taki ludia ako na tej sutazi. Polohackeri co sa radi zviditelnuju. Nikto nevravi, ze Unix/Mac OS X je nehacknutelny… Ale ze sa to „sturalom“ za 24 hod nepodarilo.
Já nechci nijak snižovat velice slušnou úroveň bezpečnosti MacOSX. Také si rád užívám „virového klidu“ na MacOSX:) Jenže tyhle soutěže jsou přinejmenším velice diskutabilní. To není reálný svět.
Windows jsou denně vystaveny desítkám či stovkám útoků od baby hackerů až po opravdový dravce. A to je velice masivní útok. Proto také tvrdím, že Windows na tom nejsou s bezpečností tak špatně, jak se na Apple serverech s oblibou píše.
A nesouhlasím s tím, že Hitech hackeři pro nás nepředstavují větší riziko než ti průměrní soutěžící. Protože právě ta špička obvykle nalézá, vytváří, definuje a následně zveřejňuje ty nejnebezpečnější díry v OS. A ty pak využívá hackerský mainstream.