LINUX.ORG.RU

Конкурс PWN2OWN: Linux выдерживает удар

 , ,


0

0

Только ноутбук Sony VAIO c Ubuntu Linux оказался неприступным перед атаками хакеров на конкурсе PWN2OWN, проводимом на конференции CanSecWest 2008 (Ванкувер). Первым, вот уже второй год подряд, на данном соревновании был взломан компьютер с MacOS X. А последний день соревнований выявил еще одного победителя: Shane Macaulay. Он выиграл Fujitsu U810 с Windows Vista Ultimate SP1, скомпрометировав целевую систему, используя уязвимость 0day в Adobe Flash.

>>> Подробности

Вывод: Никто не захотел получить Sony VAIO =))

ceeqwer
()
Ответ на: комментарий от bezgubov

Линуксойды не видят то, чего не хотят видеть..

А на самом деле очень показательно то, что ВИСТУ НЕ СЛОМАЛИ.

Хрен мы теперь попердим что линукс надежнее винды.

ModeZt
()
Ответ на: комментарий от ModeZt

>А на самом деле очень показательно то, что ВИСТУ НЕ СЛОМАЛИ.

Читай новость: сломали макось и висту. Убунту -- нет.

Demon37 ★★★★
()
Ответ на: комментарий от Demon37

> Читай новость: сломали макось и висту. Убунту -- нет.

На VAIO предустановлена Ubuntu? Хехе, я так и поверю. Акция проплачена Шаттлвортом

anonymous
()
Ответ на: комментарий от anonymous

Бери выше. Это хитрый заговор Столлмана с Торвальдсом. Шаттлврот всего лишь исполнитель.

anonymous
()
Ответ на: комментарий от anonymous

Да вы баран, уважаемый. Вам про одно, а вы - про другое. Не осилили дочитать пост на который ответили до конца? Так это уже диагноз. Болезнь называется троллизм. Вот ей-богу, лишь бы что-нибудь ляпнуть...

temy4
()
Ответ на: комментарий от anonymous

> Бери выше. Это хитрый заговор Столлмана с Торвальдсом. Шаттлврот всего лишь исполнитель.

Ты опошляешь Столлмана, друг. Но вот Торвальдс, а тем более Шаттлворт, как основатель Ubuntu легко могли заказать исход конкурса. Да и сам конкурс левый, вот если бы они установили три операционные системы на одинаковые MacBook со всеми обновлениями безопасности.. А так - конкурс для киддисов. Где я, зная политику Sony, могу купить Vaio с предустановленным ubuntu?

acetone
()
Ответ на: комментарий от Demon37

>Читай новость: сломали макось и висту. Убунту -- нет.

Сломали не операционки, а приложения. В случае висты это вообще было приложение стороннего разработчика

alex-w ★★★★★
()
Ответ на: комментарий от alex-w

>Сломали не операционки, а приложения. В случае висты это вообще было приложение стороннего разработчика

т.е. софт который стоит практически в каждом виндовом компе подключенном к интернету имеет уязвимость, то винда тут ни при чем и взлом нифига не считается? По теме мака тебя загнали под плинтус на первой странице, так ты теперь снова вылез на второй, на защиту Висты? o_O)

is_a
()

Программное обеспечение GNU/Linux не столь совершенно и попросту не может содержать в себе _высокотехнологичные_ уязвимости, которыми по праву гордятся продвинутые проприетарные системы.

anonymous
()
Ответ на: комментарий от anonymous

>Программное обеспечение GNU/Linux не столь совершенно и попросту не может содержать в себе _высокотехнологичные_ уязвимости, которыми по праву гордятся продвинутые проприетарные системы.

добавлю, написанное безграмотными студентами, безграмотными настолько, что не могут просить деньги за свои поделия.

is_a
()
Ответ на: удаленный комментарий

>А ты помнишь недавнюю уязвимость в ядре linux? Напомнить тебе, мой друг, что на инсталляционных дисках gutsy эта уязвимость актуальна. Следовательно, ubuntu они обновляли, а Mac OS X каким-то образом нет. Я не прав?

не прав. системы обновлялись полностью. читай первую страницу.

is_a
()
Ответ на: удаленный комментарий

> добавлю, написанное безграмотными студентами, безграмотными настолько, что не могут просить деньги за свои поделия.

>А что ты скажешь o разработчиках под лиценцией B

O_o) это типа стёбоцитата))

is_a
()
Ответ на: комментарий от is_a

>По теме мака тебя загнали под плинтус на первой странице, так ты теперь снова вылез на второй, на защиту Висты? o_O)

Да ну? Ни одну из операционок не сломали прямыми методами. Собственно поставили бы на убунту флеш от адоба и ее хакнули бы через ту же самую дырку, которую организовали в висте. А что касается тех цитат, которые ты же и приводил, то прежде чем ими бросаться, неплохо бы прочитать правила конкурса перед этим.

alex-w ★★★★★
()
Ответ на: комментарий от alex-w

Да успокойся. Первый раз что ли сломали свисту? Начнем с взлома активации и закончим огромными бот нетами.

anonymous
()
Ответ на: комментарий от WindowsUser

> LOR во всей своей красоте: "не читал, но осуждаю".

А вот я не читал, но одобряю :D

tailgunner ★★★★★
()
Ответ на: комментарий от anonymous

>Да успокойся. Первый раз что ли сломали свисту? Начнем с взлома активации и закончим огромными бот нетами.

Им отдел маркетинга центрального офиса мелкософта разослал "темники" которые ты так бессовестно опровергаешь!

Там черным по белому написано, что хоть свиста - унылое дерьмо, зато ее писали самые продвинутые кришнаиты, благодаря чему она не подвержена взлому и вирусам.

anonymous
()
Ответ на: комментарий от anonymous

>Да успокойся. Первый раз что ли сломали свисту? Начнем с взлома активации и закончим огромными бот нетами.

Да мне на вашу свисту насрать. Я просто хочу показать, что конкурс был не совсем адекватен. Вот сами посудите, можно ли хакнуть мак за менее чем 5 минуты с начала конкурса, если точно не знать об имеющейся уязвимости? А этот чел, который хакнул мак уложился менее чем за 2 минуты. А если припомнить, что для использования уязвимости в сафари нужно было специально сформировать определенную страницу? Получается, что чел еще до начала конкурса подготовил эту страницу (откуда он знал что именно придется тестировать на устойчивость?), потом пришел на конкурс и как только тот начался попросил оператора перейти на эту заранее подготовленную веб-страницу. Вот и уложился он в пару минут - необходимые на логин в систему, открытие сафари, забивания адреса в строке адреса и переход по ссылке. В случае висты использовали дырку во флеше, для чего скорее всего также нужно было сделать специальный флеш-ролик.

И после этого кто-то может сказать, что данные хаки были "честными"?

P.S. Хакнули и хакнули - хрен с ним, заплатки выйдут и закроют эти дыры. Вот только почему был этот фарс с макбуком?

alex-w ★★★★★
()
Ответ на: комментарий от gnomino

Повторю то что запостил в другом варианте новости:

Ну чтож, вполне логичный результат, можно поздравить сообщетсво разработчиков Линукс и Убунту в частности, барво, парни так держать :)

gnomino
()
Ответ на: комментарий от is_a

Кто-то реально верит, что в этом соревновании принимали участие серьезные ребята? Не забывайте, это все-таки криминал.

Большие деньги любят тишину...

deis
()
Ответ на: комментарий от alex-w

>По теме мака тебя загнали под плинтус на первой странице, так ты теперь снова вылез на второй, на защиту Висты? o_O)

>Да ну? Ни одну из операционок не сломали прямыми методами. Собственно поставили бы на убунту флеш от адоба и ее хакнули бы через ту же самую дырку, которую организовали в висте. А что касается тех цитат, которые ты же и приводил, то прежде чем ими бросаться, неплохо бы прочитать правила конкурса перед этим.

Висту взломали с помошью флеша, т.к. ничего похожего на геко, который мона поставить с репозитория, или "изкаропки" нету.. а без флешь плеера тебе нужна виста? а то что какаято левая программа (имею ввиду не от мелкософта), поимела защиту всей висты.. (хотя ее расхваливают), это типа проблемы тока Адоба ? А АдобФлешьПлеер ненужно ставить в убунте, геко хватает.. и если поставить даже Адобу, ничего ты не сломаешь в убунте ибо в линуксе такая структура... и чтобы хоть чтот сделать нужно запустить этот плеер с парвами рута... а под рутом сидят (или запускают плееры) тока неграмотные люди (сори если когото обидел, но у таких людей всегда будут вирусы и т.п. и всегда все будет нестабильно).В отличии от мелкософта, где обычным пользователем (не администратором) пользоватся их операционками невозможно! тока если калькулятор запускать. Про мак ненаю, но то что её взломали с последними патчами и апдейтами, не есть хорошо, хоть это и сафари, но тутже опять получается что система падает из-за стороннего программного обеспечения, что не есть правильно. //IIIHyP

anonymous
()

Может я ошибаюсь, но, похоже, в висте аккаунт Administrator по умолчанию disabled, и не смотря на то, что обычный пользователь относится к группе Administrators полных прав у него нет. Парадокс. К тому же по умолчанию включается долбаный UAC, который вопит по любомы поводу "А уверены? Чё - правда запустить?!". Имхо MS пошла unix-way в какой-то степени, даж названия каталогов укоротила и настопила на свои же прошлые костыли. В системе нет ясности, путано как-то вышло - не то не сё.

kirsche
()
Ответ на: комментарий от anonymous

забыл добавить, как тут уже писалось GNU/Linux открыты, и дырки по идее должны находится гораздо быстрее чем в закрытых системах типа Мас и Виндовс... но как ни странно все наоборот.

anonymous
()

> используя 0day уязвимость в Adobe Flash

И при чем тут Майкрософт?
Хотите сказать, что можно было ставить любое ПО на комп, что-ли? Не проще ли тогда сразу рутшел воткнуть?

DOKA
()
Ответ на: комментарий от kirsche

>Может я ошибаюсь, но, похоже, в висте аккаунт Administrator по умолчанию disabled...

Извиняюсь, я висту тока 1 раз щупал )) я неожидал что они наконец это исправят! тут моя ошибка. А насчет постоянного спрашивания "вы уверены", все думаю уже знакомы с этим...это не защита, это мучение для пользователей )

anonymous
()

Вопли вендузятников по поводу стороннего софта умиляют. Как какое нибудь исследование МС на тему безопасности, так сравнивается голая Свиста с каким то РедХатом с кучей софта, а тут хрякнули через флеш, который, как минимум, у 90% пользователей стоит, так сразу - не честно.
Крякните ядро линукса, ладно, пусть еще coreutils стоят..

coder_ak
()
Ответ на: комментарий от alex-w

Видишь ли... К конкурсам (любым), обычно, ГОТОВЯТСЯ. Т.е. делают заготовки, если это не запрещено условиями конкурса. В данном случае, чуваки подготовили набор хаков для стандартных и известных на текущий момент дырок. И просто проверили ПРОПАТЧЕННЫЕ системы по этим своим заготовкам. И все. Т.е. не было виртуозного хака по новой супер-методе или там нового, только что вышедшего эксплоита. Обычная проверка, тест на безопасность. И не вина Убунты, что для нее выходят обновления безопасности чаще, чем для Висты или Мака. ПОЭТОМУ конкурс был честный - его условия были известны заранее (из каробки+последние патчи), пацаны подготовились по этим условиям и вуаля! Да Эппл с Адобе/Майкрософт должны быть им дико благодарны за это бесплатное тестирование их софта - теперь меньше искать, где баг...

anonymous
()
Ответ на: комментарий от nettt

Ещё одна новость подтверждающая,что я сделал правильный выбор настольной операционной системы. :)

chivelot
()
Ответ на: комментарий от alex-w

> Значит в тот ноут с вистой этот флеш был доставлен, что уже можно рассматривать как нарушение условий конкурса.

Хватить в лужу бздеть. Для начала почитайте условия конкурса.

Igron ★★★★★
()
Ответ на: комментарий от alex-w

> Да ну? Ни одну из операционок не сломали прямыми методами. Собственно поставили бы на убунту флеш от адоба и ее хакнули бы через ту же самую дырку, которую организовали в висте. А что касается тех цитат, которые ты же и приводил, то прежде чем ими бросаться, неплохо бы прочитать правила конкурса перед этим.

Соревнование проводится в три этапа. В течение первого дня участники должны были попытаться проникнуть в удаленную систему, не полагаясь на какие-либо действия со стороны пользователя атакуемой машины

Во второй день были разрешены атаки на любые приложения, поставляющиеся в составе стандартной конфигурации операционной системы, а также вовлечение в схему взлома пользователей (например, открытие электронного письма или посещение веб-сайта в интернете).

По условиям третьего этапа соревнования, участники могут осуществлять атаки на любые приложения сторонних разработчиков.

Igron ★★★★★
()
Ответ на: комментарий от ent4jes

>2alex-w Ты хочеш сказать что флеш установили на Висту а на Убунту забыли ?

Вполне могли и "забыть" поставить. Деталей то по наличному ПО никаких не написали :(

alex-w ★★★★★
()

Я всегда знал, что мою бубунту никакие кульхацкеры не сломают :)

troorl ★★
()
Ответ на: комментарий от NonHuman

> Мою новость видимо не пропустили изз-за того, что снова MacOs оказалась наименее безопасной

Просто было меньше подробностей, про флеш, например.

anonymous_incognito ★★★★★
()

Нестабильная версия убунты уделала стабильную версию винды. Есть повод переделать *.04 ветку бунты в +суперстабильную, а *.10 в +оченьстабильную. Как рейтинг у процов, пусть будет рейтинг и у ОС, чтобы до дебилов доходило.

anonymous
()
Ответ на: комментарий от anonymous

>Висту взломали с помошью флеша, т.к. ничего похожего на геко, который мона поставить с репозитория, или "изкаропки" нету.. а без флешь плеера тебе нужна виста? а то что какаято левая программа (имею ввиду не от мелкософта), поимела защиту всей висты.. (хотя ее расхваливают), это типа проблемы тока Адоба ?

Это не только проблемы адоба, но и мелкософта - согласен! Без флешплеера мне лично живется вполне комфортно, но кому-то он позарез нужен, чтобы смотреть всякую фигню на том же ютубе. Но однако точно так же можно поиметь привелигерованные права на Ubuntu использую дырки в том же Firefox. Тут получается кто виноват - разрабы Firefox'а или разрабы Ubuntu?

alex-w ★★★★★
()
Ответ на: комментарий от NonHuman

> Господа модераторы, вы бы поправили новость, и указала, что первой, вот у вторрой год как, ломают MacOS X

Поправил.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от DOKA

>Хотите сказать, что можно было ставить любое ПО на комп, что-ли? Не проще ли тогда сразу рутшел воткнуть?

+1

Сразу после прочтения новости подумалось о том же.

alex-w ★★★★★
()
Ответ на: комментарий от Igron

>Хватить в лужу бздеть. Для начала почитайте условия конкурса.

По условиям конкурса тестировалась система по умолчанию (т.е. базовая). В базовую систему не входит Adobe FlashPlayer. Т.е. получается, что софт туда доставляли. С таким же успехом можно было поставить свою реализацию шела под видом какого-нибудь блокнота и воспользоваться им.

alex-w ★★★★★
()
Ответ на: комментарий от Sylvia

> Стараниями Adobe, скомпроментировать можно практически любую систему для которой есть флаш плагин.

Скомпромитировать систему на основе GNU/Linux через этот плагин не получиться. Учим матчасть.

anonymous
()
Ответ на: комментарий от alex-w

> вторая жертва с вистой. Хакнули ее через 0day уязвимость в Adobe Flash. Кто-нибудь видел хоть одну систему, где Adobe Flash стоит по умолчанию? Значит в тот ноут с вистой этот флеш был доставлен, что уже можно рассматривать как нарушение условий конкурса.

Браузер сам ставит флеш с сайта производителя, т.ч. можешь унять словесный понос и вытереть говно с губ.

anonymous
()
Ответ на: комментарий от alex-w

>Хотите сказать, что можно было ставить любое ПО на комп, что-ли? Не проще ли тогда сразу рутшел воткнуть?

>+1

>Сразу после прочтения новости подумалось о том же.

Day 3: March 28th: Third Party apps Assuming the laptops are still standing, we will finally add some popular 3rd party client applications to the scope. That list will be made available at CanSecWest, and will be also posted here on the blog. First to pwn it receives the laptop and a $5,000 cash prize.

we will finally add some popular 3rd party client applications to the scope. не всё подряд, а популярное ПО используемое на данных ОС.Популярность оценивалось комиссией.

is_a
()
Ответ на: комментарий от grey_fenrir

> Очевидно, если написать кривой клиент под линуху (а хоть и попробовать тот же флеш), то и её можно завалить.

Нельзя.

p.s. К логопеду, быдло.

anonymous
()
Ответ на: комментарий от alex-w

> но на мой взгляд конкурс проходил не совсем корректно

В тебе говорит быдло.

anonymous
()
Ответ на: комментарий от alex-w

>По условиям конкурса тестировалась система по умолчанию (т.е. базовая). В базовую систему не входит Adobe FlashPlayer. Т.е. получается, что софт туда доставляли. С таким же успехом можно было поставить свою реализацию шела под видом какого-нибудь блокнота и воспользоваться им.

По ссылке пройти и правила с регламентом прочитать не судьба?

is_a
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.