» »

Hekersko tekmovanje Pwn2Own se začenja

Hekersko tekmovanje Pwn2Own se začenja

ComputerWorld - Včeraj se je v Vancouvru začelo vsakoletno tekmovanje Pwn2Own, ki ga organizira TippingPoint Zero Day Initiative (ZDI) in kjer se merijo hekerji pri razbijanju različnih aplikacij in platform. Pravila so enostavna - kdor dobi dostop do sistema, dobi še lepo denarno nagrado; skupni fond je vreden 100.000 dolarjev. Tekmovanje traja do petka.

Včeraj so bili na tapeti Internet Explorer 8, Firefox 3 in Chrome 4 na Windows 7 ter Safari 4 na MacOS Snow Leopardu, medtem ko danes napadajo brskalnike IE7, Firefox 3 in Chrome 4 na Visti ter Safari 4 na Snow Leopardu, jutri pa jih bodo še na Windows XP (oz. Safari na Snow Leopardu). Vsak ranjeni brskalnik zmagovalcu prinese 10 tisoč dolarjev.

Poleg brskalnikov na vdor čaka še kopica mobilnih naprav: iPhone 3GS, Blackberry Bold 9700, Nokia E72 s Symbianom in HTC Nexus One. Tu ena žrtev prinese 15 tisoč dolarjev. Poleg denarnih nagrad najboljši prejmejo še Apple Macbook Pro, HP Envy Beats 15, Sony Vaio in Alienware M11x in potovanje na konferenco DEFCON v Las Vegasu. Firefox, IE, Safari in iPhone 3GS so že padli.

36 komentarjev

CoolBits ::

Kot je meni znano je tekmovanja že konec... in preživel je le chrome, katerega se niso niti lotili...

FireSnake ::

Kako je pa z odkritimi (izkoriscenimi) luknjami? Se to avtorjem programja zaupa?
"In The Sound Of Silence Time Is Standing Still"
Poglej, in se nasmej ----> www.vicmaher.si ;)

CoolBits ::

Odkrite ranljivosti so skrivnost, dokler jih tippingpoint ne preda razvijalcem in se izda popravek...

Tear_DR0P ::

a je kdaj kakšen kos softvera zdržal napad?
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

CoolBits ::

Kar človek naredi, lahko tudi človek podre...

mkoco ::

pa še hekerje majo popisane v podatkovni bazi 8-)
Money will say more in one moment than
the most eloquent lover can in years.

ABX ::

Tear_DR0P je izjavil:

a je kdaj kakšen kos softvera zdržal napad?


Linux.

Sicer nekdo bo rekel ker se ga niso resno lotili, ampak vseeno.

P.S: Ko je Pwn2Own, MS in Apple fanboyi se skrijejo. :)
P.S.S: Vidim da ni še konec.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

orbter ::

@Collbits: Tekmovanje traja 3 dni in končal se je šele prvi dan

CoolBits ::

Glavne nagrade so pa že pobrane tko da ni niti tolko zanimivo več...

deadbeef ::

Naj postavijo en strežnik z OpenVMS pa ga probajo shekat. :]

denial ::

Linux. Sicer nekdo bo rekel ker se ga niso resno lotili, ampak vseeno.

Organizator o dejstvu zakaj se na Pwn2Own že drugo leto zapored ignorira Linix: "Ubuntu and other Linux variants were excluded because they do not hold enough market share as a desktop operating system. Sidenote: why isn't PaX everywhere it should be? Oh, right: http://article.gmane.org/gmane.linux.ke.... Prevod za Linux fanboye: "Ker je supa-dupa secure!!"

Sicer pa je bil tudi Linux (posredno) pwnan...

Ko je Pwn2Own, MS in Apple fanboyi se skrijejo. :)

You missed the point... BTW, kaj ima Firefox z MS/Apple fanboyi?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Spock83 ::

Dober način za rekrutiranje novih it. strokovnjakov/agentov...

ABX ::

@denial
Firefox out of the box je manj varen od Chrome, to je jasno že vsaj eno leto.

Firefox z pravimi addoni pa je druga debata.

In prav to je point open-source, sistem lahko prilagodiš lastnim potrebam.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

denial ::

Pay day for Chrome bugs: KLIK

Tvoje super-elitno omrežje/kišta/brskalnik/add-oni/whatever ne predstavljajo tipičnega/privzetega vzorca. A je to težko razumeti?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

SLO_Matej ::

Chrome je še vedno najvarnejši in najboljši. :D

CoolBits ::

A ker ga niso niti povohali?

SLO_Matej ::

CoolBits je izjavil:

A ker ga niso niti povohali?

Da, ker se nihče niti ne upa. Namreč kadar so ga do zdej probal jim ni ratalo. ;)

ABX ::

denial je izjavil:

Pay day for Chrome bugs: KLIK

Tvoje super-elitno omrežje/kišta/brskalnik/add-oni/whatever ne predstavljajo tipičnega/privzetega vzorca. A je to težko razumeti?


Tipičen privzet vzorec je MS in Apple, oba padeta vsako leto v minuti.
Je ura za zamenjat to sranje?
Vaša inštalacija je uspešno spodletela!

Looooooka ::

s 5%-6% trznega deleza se ga niso pipnili iz istega razloga kot ubuntuja.
Da ne bo prevec veselja.

Pehko ::

Looooooka je izjavil:

s 5%-6% trznega deleza se ga niso pipnili iz istega razloga kot ubuntuja.
Da ne bo prevec veselja.

aha zakaj so pa potem Safarija ,ki ima še nižji tržni delež?

Zgodovina sprememb…

  • spremenilo: Pehko ()

denial ::

Tipičen privzet vzorec je MS in Apple, oba padeta vsako leto v minuti.

Še ena bedarija. A ti misliš da se folk kar vsede in sheka mašino v minuti?

aha zakaj so pa potem Safarija ,ki ima še nižji tržni delež?

Ugani kateri brskalnik je privzeto nameščen na Mac OS X.

Chrome je še vedno najvarnejši in najboljši.

Ja, ja... enako je veljalo za Firefox. Dokler je imel nizek tržni delež. Itak da je Links najbolj varen.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

Ne bistveno lažje je.
Če je netbios port odprt, virus pride sam. V kolikor je firewall vmes je potrebno uporabnika zvabit na okužen link.

In da, v obeh primerih gre za manj kot 1 minuto.

P.S: No ok, 2 min.
http://www.computerworld.com/s/article/...
Očitno novi Win7 so bolj varni kot XP. LOL
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

denial ::

No, pa si končno omenil tudi NetBIOS. Klasika pri tvojih argumentih o varnosti. To je tudi razumljivo. Tvoji viri o varnosti ne sežejo preko "Computer Worlda".

In da, v obeh primerih gre za manj kot 1 minuto.

Krepko se motiš. Minutko traja le "grand finale".
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

Kaj govoriš? Vsi letošnji zmagovalci so samo podali link do okuženega strežnika in sistem je bil njihov.
Vaša inštalacija je uspešno spodletela!

denial ::

Ti fantje so imeli svoje exploite pripravljene že najmanj 15-30 dni pred tekmovanjem, mogoče tudi več mesecev prej. V vsak exploit je bilo vloženih kar nekaj delovnih dni.

Ti sicer vidiš samo minuto, le grand finale, ker te ozadje niti ne zanima.

Evo, tle imaš še video pwnanja IE8/Win7. Traja manj kot minuto: KLIK. NetBIOS ni bil uporabljen.
SELECT finger FROM hand WHERE id=3;

mHook ::

In kateri ad-oni so "pravi" da je firefox varen? In kako naj to ve povprečen uporabnik?

MrStein ::

Ja, priprave so bile daljše.
Ampak delovanje pa je minutka.

Prižgeš PC, "čuden" link na googlu in si že del matrice...
Za žrtev je čist vseeno, kak dolgo se se storilec pripravljal.
Teštiram če delaž - umlaut dela: ä ?

denial ::

@MrStein:
Drži. Na splošno za vse exploite.

To je navedeno le zato, ker si mnogi predstavljajo P2O nekako takole: tip pride + se vsede pred kišto + uporabi nek hudo obskurni kick-ass-browser-ninjitsu = pwnage v < 60 sekundah.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

ABX ::

To si predstavljajo samo tisti ki gledajo hackerje na TV.
Vaša inštalacija je uspešno spodletela!

denial ::

Ne boš verjel koliko je takšnih. Aja, obstajajo tudu tisti, ki o hekerjih berejo na "Computer Worldu".
SELECT finger FROM hand WHERE id=3;

ABX ::

Če imaš kakšen pameten link o dogodku ga bom rade volje prebral.
Vaša inštalacija je uspešno spodletela!

noraguta ::

addoni kvečjemu poslabšujejo varnost. netbios in browser imata malo skupnega.
Pust' ot pobyedy k pobyedye vyedyot!

ABX ::

noraguta je izjavil:

addoni kvečjemu poslabšujejo varnost. netbios in browser imata malo skupnega.


Ne bluzi neumnosti glede addon-ov. Razni NoScript, Addblock plus, FlashBlock, ... samo povečajo varnost.
Imaš pa seveda tudi takšne ki povečajo nevarnost.

Kar se Netbiosa tiče.
Za 1 PC nima veze, ampak poglej zadevo iz vidika večje mreže. Dovolj da 1 PC se okuži z linkom in ima virus možnost sesut celo interno mrežo.

Pa da ne bom samo pljuval čez MS:
Iz zgornjih linkov ni jasno če napadalec je šel na link kod Admin ali User. To je zelo pomemben faktor.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

denial ::

Iz zgornjih linkov ni jasno če napadalec je šel na link kod Admin ali User. To je zelo pomemben faktor.

Na tekmovanju veljajo privzete nastavitve, v primeru Win7 torej LUA. Ker ne gre za eskalacijo privilegijev se koda izvaja s privilegiji uporabnika.
SELECT finger FROM hand WHERE id=3;

ABX ::

denial je izjavil:

Iz zgornjih linkov ni jasno če napadalec je šel na link kod Admin ali User. To je zelo pomemben faktor.

Na tekmovanju veljajo privzete nastavitve, v primeru Win7 torej LUA. Ker ne gre za eskalacijo privilegijev se koda izvaja s privilegiji uporabnika.


Če virus ne dobi Admin pravic potem ne bi smel biti toliko nevaren.
Vaša inštalacija je uspešno spodletela!

noraguta ::

ABX je izjavil:

noraguta je izjavil:

addoni kvečjemu poslabšujejo varnost. netbios in browser imata malo skupnega.


Ne bluzi neumnosti glede addon-ov. Razni NoScript, Addblock plus, FlashBlock, ... samo povečajo varnost.
Imaš pa seveda tudi takšne ki povečajo nevarnost.

Kar se Netbiosa tiče.
Za 1 PC nima veze, ampak poglej zadevo iz vidika večje mreže. Dovolj da 1 PC se okuži z linkom in ima virus možnost sesut celo interno mrežo.

Pa da ne bom samo pljuval čez MS:
Iz zgornjih linkov ni jasno če napadalec je šel na link kod Admin ali User. To je zelo pomemben faktor.

netbios še vedno nima veze z brskalniki,
tisti tvoji addoni so ali nelegalni(filtrirajo vsebino za katero si se obvezal , da jo boš prenesel ali dvomljive vrednosti) varnosti pa ne izbolšujejo. na žalost.
Pust' ot pobyedy k pobyedye vyedyot!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mozilla odkrite ranljivosti bogateje nagrajuje

Oddelek: Novice / Brskalniki
57096 (6217) DMouse
»

Pwn2Own končan, preživel Chrome

Oddelek: Novice / Apple iPhone/iPad/iPod
245833 (4291) denial
»

Hekersko tekmovanje Pwn2Own se začenja

Oddelek: Novice / Varnost
366016 (4091) noraguta
»

WWDC 2009 - Apple Keynote (strani: 1 2 3 4 )

Oddelek: Novice / Apple iPhone/iPad/iPod
17410623 (6516) techfreak :)

Več podobnih tem