Z DSL.sk:
Hackerská súťaž s príznačným názvom PWN 2 OWN pre účastníkov bezpečnostnej konferencie CanSecWest prebiehajúcej tento týždeň vo Vancouveri pozná svojho prvého víťaza.
Vo štvrtok, druhý deň súťaže, dokázal tím trojice bezpečnostných expertov hacknúť Mac OS X.
Podľa organizátorov trojica Charlie Miller, Jake Honoroff a Mark Daniel využila k ovládnutiu MacBook Air s Mac OS X 10.5.2 doteraz neznámu chybu v Safari, ktorá im umožnila po návšteve podvrhnutej webovej stránky užívateľom spustiť na Mac OS X vlastný kód, získať prístup k súboru uloženému na disku počítača a nárokovať si tak výhru.
Minulý rok sa v tejto súťaži podarilo prelomiť systém Mac OS X vďaka chybe v QuickTime. Hackeri získali ako výhru MacBook Air a finančnú odmenu 10 000 USD.
Systémy Ubuntu 7.10 a Windows Vista SP1 sa nepodarilo prelomiť. V prvý deň sa hackeri snažili dostať do počítačov cez lokálnu ethernetovú sieť (nepodarilo sa, všetky systémy obstáli), druhý deň sa mohli k hacknutiu využiť bežné aplikácie zo systému s priamym prístupom ku konkrétnym počítačom.
Prehliadač Safari sa teda stal v druhej časti súťaže pre Mac OS X osudným programom. Škodlivá pripravená URL adresa na internete otvorená v Safari môže pravdepodobne sprístupniť vaše dáta hackerovi. „Pravdepodobne“ píšem preto, lebo detaily hacku nie sú známe [bol zapnutý firewall? ako sa následne sprístupnili dáta resp. ovládanie systému?] a je celkom možné, že takáto URL si po využití bezpečnostnej diery v Safari vyžiada ešte administrátorské heslo alebo môže skolabovať kvôli inému dôvodu/nastaveniu, ktoré si hackeri museli najprv v systéme špeciálne nastaviť alebo pripraviť tak, aby bol hack úspešný.
Napriek tomu však netreba žiť v ilúziách, že Mac OS X je neprekonateľný a najbezpečnejší systém. Aj keď prístup k Macu sa priamo z internetu/siete nepodarilo získať rovnako ako u Windows a Linux/Ubuntu, aplikácie v systéme (alebo tie, ktoré si inštalujete) su väčšinou kritickým bodom každého OS. Rovnako ako si zamykáte auto či byt a nenavštevujete miesta sveta s najvyššou kriminalitou, nepúšťajte k svojmu počítaču cudzích ľudí a nenavštevujte rizikové webstránky zväčša s ilegálnym obsahom. Hlavne si však treba položiť otázku, či ste natoľko populárna osoba, aby sa hacker snažil získať prístup práve k vašemu počítaču a prečo… (väčšie firmy majú prísne firewally, ktoré tieto diery v aplikáciách úspešne eliminujú zatvoreným prístupom do siete – rovnako by mal aj bežný zabudovaný firewall v systéme Mac OS X.)
Apple pripravuje cez Software Update opravnú záplatu na túto dieru v Safari.
komentárov
„Apple pripravuje cez Software Update opravnú záplatu na túto dieru v Safari.“ — to znamená asi update pre Safari, teda by hneď mohli implementovať nové jadro webkitu a safari by mohol byť prvý kto v ostrej verzii prejde acid3 testom na 100/100 (ale to neznamená úspešné prejdenie testom…). To by ma teraz viacej prihrialo pri srdci ako nejaká diera, aj keď oboje sú mi v praxi v podstate na dve veci…
Firewall bol vypnutý. Jednou z daností súťaže bolo aj to, že systémy boli vo svojom základnom nastavení a to, pokiaľ viem, na Leoparde znamená vypntý firewall.
Len pre upresnenie…Vista bola v tomto teste tiez prelomena a vydrzal iba Linux…osudnym sa jej stal Adobe Flash Software…
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=networking_and_internet&articleId=9073258&taxonomyId=16
;-) Povedal bysom, ze nebol hacknuty OS X, ale Safari.
http://www.lupa.cz/clanky/proc-neni-dobre-schovavat-se-za-jablko/nazory/?show.x=110&show.y=11
Off topic: co se zde dnes v noci delo? stehovani, udrzba nebo hackeri?
[pozn. admin.: “nehoda” v SQL, suvisi s redesignom]
Čo si mám ohľadne tohto článku v súvislosti s Mac OS X bezpečnosťou vyvodiť? O Macoch je známe, že naň ‘neexistujú’ vírusy. Ale ako je to s bezpečnosťou?…
Juraj Vivoda: Nič. Celá ta súťaž mi príde smiešna a neobjektívna. Okrem toho keď niekto už sedí za tvojím počítačom (ako to tam bolo), tak už ti nepomôže ani svätená voda. A ako tam bolo, zo siete sa nikto nedostal v prvý deň => bezpečnosť je dostačujúca. Nepredpokladám že sa mi niekto vlúpe do domu a bude mi hackovať mac (to už mi ho rovno ukradne)…
Ďalej Safari bol donedávna iba beta, je dosť nový a čaká ešte na svoje odladenie (to isté sa dá povedať o Leoparde celkovo). A na hacknutie bola potrebná interakcia používateľom, tjst. bolo vyvolané piramo z miesta na počítači nie z diaľkovo (to sa už opakujem).
Mac: “Safari bol donedávna iba beta…” To jste si popletl se Safari pro Windows, Safari pro OS X je venku od roku 2003. Jestli pět let “čaká na odladenie”, jak píšete, pak je na tom podobně, jako MSIE 5-6, a to je smutné.
nie nemusi byt u teba doma ale staci kliknut na link co ti pride mailom a uz je v pocitaci.
tato chyba je dost zavazna. safari je z hladiska bezpecnosti nie prave najlepsia volba. a je jedno ci bol safari donedavna beta alebo nie. momentalne beta nie je a takato chyba tam nema co hladat.
tuto chybu netreba povazovat za banalnu aj ked je to apple.
Jan Rybar: myslel som Safari 3, neviem či je to tak na OS X oficálne ale mne verzie nižšie ako 3.1 pripadali ako beta…
to co ti pripada ako beta je nieco ine. na Mac OS X to beta nie je a to uz dlho. Beta to bolo donedavna pre win, ale ten test hovori o OS X.
http://en.wikipedia.org/wiki/Safari_3
cize ziadne vyhovorky ani obhajovanie applu nema zmysel. rovnako ako sa odsudzuju bezpecnostne diery MS treba odsudit aj tuto chybu a netreba to zlahcovat len preto ze vlastnis mac a nedas nan dopustit :)
to mac: no neviem ci acid3 safari bude prvy.. pozri sem http://itnews.sk/buxus_dev/generate_page.php?page_id=53261
ejci: Prosím nevkladaj mi do úst niečo čo som nepovedal. Práve na odkaze čo si sem dal do wikipédii nájdeš že safari 3 bol do uvedenia Leoparda iba public beta. IMHO je to iba do nedávna, prosím nechtať za slovíčka…
No dobre, je tam diera a na môj život to nemá nijaký dopad. Neppotrebujem to odsudzovať, v Cupertine vedia čo s tým maju robiť aj bez mňa. Nehovorím že je to dobré, ale netreba hneď malovať čerta na stenu.
„len preto ze vlastnis mac a nedas nan dopustit :)“ — vedel by som nadávať na Apple a občas ma aj zdvíha zo stoličky ale keď si predstavím čo som zažíval pri Win, hneď som kľudný :)
mayoxy: prvenstvo ťažko určiť keď opera aj wbkit ohlásili 100/100 takmer naraz ale baví ma sledovať tieto napínavé preteky, pretože vyhrá asi ten kto prvý implementuje do ostrej verzie. Je to sranda, každý deň si sťahujem nový webkit a hrám sa sním. Prirodzene držím Safari, ale je mi to inak jedno a beriem to ako zábavu. Niekto pozerá futbal a ja sledujem boj vykreslovacích jedier :). BTW ak by aj Opera vyhrala, nevadí skóre bude 1:1, safari už má Acid2 :).
Pre ostatných, čo sa nezaujímajú o prehliadače/webdesign — nevšímajte si tieto moje keci :).
Ved vsetko co sa kyda na windows je sposobene uzivatelom ktory webove stranky navstevuje…uz sa to opakuje asi dookola..porno, warez…to je smetiste adware spyware…a vacsina co nadava taketo stranky browsuje(neleglne windows, nelegalne adobe, nelegalne vsetko skoro)
potom to tak vyzera a kazdy nadava nawindows..chvala bohu ze mozem pouzivat obe na jednom stroji
A podlaise co ma zaujima…Kedze sa dostlai cez Safari…ved Safari bezi aj na Windowse, nerozumiem, rozdiel je len naozaj len v tom ze firewall je vyputy dafultne u MacOSX
A vzdy za to moze samotny uzivatel
“Obdrzali ste vyhru milion dolarov, Klikni sem po vyhru” a uz klikaju jak blazni:)
to sa necudujem
:)
Inak zaujimavy clanok.-…sokujuci :) ako novy cas:D:D:D
ale nie srandujem
pekny vecer
trochu ot.. operu už v ŽIVOTE do svojho macu nepustím.. NIKDY… správala sa ako prvý vírus pre mac… sama sa kopírovala do rôznych miest … keď som ju zmazal stiahol torrent otvoril ho .. spustilo operu … takto som v kolobehu zmazal asi 5 opier všetko samostatných aplikáciách dokonca aj v MACOS… to je na mňa veľa :)
To Mac:
Ejci to napisal prave koli fanatikom, ktori nepripustia, ze ich zboznovany system nie je az tak 100% ako sa zdalo.
Ja osobne som roky robil s Win a zvladol som to, OS X sa mi paci, ale tiez ma dviha zo stolicky pri urcitych veciach. Z hladiska moznosti prisposobit skoro cokolvek je na tom najlepsie Linux, ale uz nie je tolko casu na “hranie sa”.
Je to len o preferenciach. Kazdy system ma nieco lepsie a nieco horsie oproti tym druhym.
Mimochodom, ani na moj zivot nema tato bezp. diera v Safari dopad. Pouzivam totiz Firefox, kde sa ukazu urcite ine problemy :-)
nemozem sa ubranit, nazoru, ze tento clanocek je k……a z jedneho velmi prosteho dovodu a to preto, lebo prinasa TOTALNE povrchny clanok o niecom o com ani sam autor nema paru, nema kompletne informacie a clanok sluzi akurat tak na to, ze prilieva windowsakom olej do ohna a tesia sa z toho ako si hlupi a robia si nazor na ini OS ako je windows na zaklade povrchnych clankov podobnych tomotu. dajte tento clanok radsej do paze
Jedno je ale iste: Safari 3 je zo vsetkych hlavnych prehliadacov najkratsie vonku, takze s bugmi bude na tom asi najhorsie.
Lesnik, tak ako to je teda naozaj? :-)
Bezpecnost operacny systemov je kategoria, ktora je trosku rozsiahlejsia a venuje sa jej uplna ina kategoria ludi ako vacsina, ktora cita tento blog. Je to rozsiahla problematika na viac ako par riadkov ako komentar ku clanku na blog alebo ako samotny clanok na blogu. Jediny sposob uvazovania, pri ktorom si mozeme byt isti, ze sme dosli k spravnemu zaveru o comkolvek, je poznanie vsetkych faktov. Ak zakladame nase uvahy len na ciastocnom poznani, nikdy si nemozeme byt isti, ze nase nazory su spravne.
Myslím že , tento článok a hlavne jeho vezia publikovaná v SME je iba vyrábaním hmly pre bežných čitatelov a masírovaním mozgov smerom k Windovsom. Vypnite na VIste firewall … a budete mat postarané o tú istú závavu prípadne ešte lepšiu. :-)
Ináč trochu ot.. prečo cca 70% mojich známych ktorí prešli na Vistu sa zúfale v poslednej dobe snaží vrátit na XP ??? …. :-))
To podstatné je že zo siete sa do mašín nikdo nenabúral. Priamy prístup z konzoly je nezaujímavý. Nikde v článku neboli publikované nastavenia systémov ani verzie použitého software … jeho reálna informačná hodnota je teda cca skoro nulová a pripomína mi úroven niektorých “bulvár_médií” …
Čarodej, môžem s tebou iba súhlasiť. Trafil si kliniec po hlavičke, tak ako lensik. Moja predchadzajuca otazka bola, priznavam, trochu provokacna, ale nie preto, ze nesuhlasim. Prave naopak – ale dokazal by som to obhajit?
Mne sa najrelevantnejsia zda byt informacia, ze na OSX bol vypnuty firewall (vyhovorky, ze to je tak defaultne nastavene, je pravdiva, ale to je jedno – aj tak to kazdy zapne, ak je v sieti…), ale niektori ludia vravia, ze firewall je na nieco uplne ine a aj keby bol zapnuty, na tuto “chybu” by nestacil (sme.sk).
Neviem, co je na tom pravdy, pretoze sa v tom velmi nevyznam, ale co si myslite vy? Skutocne by pomohlo, keby bol firewall zapnuty???
Firewall sluzi na to aby filtroval prichadzajuce spojenia na nejaky port na ktorom pocuva program ako napr. apache, postfix, mysql, atd. Ak si napises nejaky flash, ktory si otvori spojenie na tvoj (crackerov) pocitac, a ten posle obraz celeho disku, tak na to ti nepomoze ziadny firewall a neda sa to povazovat za chybu OS ale chybu pouzivatela, ktory si takyto flash dovolil spustit na svojom pocitaci. Pocitacova bezpecnost bude vzdy zavysiet vzdy iba na uzivatelovi a pojde s nim ruka v ruke. Vypnuty firewall po default instalacii Leopardu nema na bezpecnost OS Leopard absolutne ziaden vplyv pretoze v defaultnej instalacii leoparda nebezi ziaden daemon, ktorym by bolo potrebne filtrovat nejaky prichadzajuci traffic.