LINUX.ORG.RU

Конкурс PWN2OWN: Linux выдерживает удар

 , ,


0

0

Только ноутбук Sony VAIO c Ubuntu Linux оказался неприступным перед атаками хакеров на конкурсе PWN2OWN, проводимом на конференции CanSecWest 2008 (Ванкувер). Первым, вот уже второй год подряд, на данном соревновании был взломан компьютер с MacOS X. А последний день соревнований выявил еще одного победителя: Shane Macaulay. Он выиграл Fujitsu U810 с Windows Vista Ultimate SP1, скомпрометировав целевую систему, используя уязвимость 0day в Adobe Flash.

>>> Подробности

Ответ на: комментарий от Laz

> Юзер купил макбук или ноут с вистой и пользуется им, не особо беспокоясь о багах в стандартном софте.

Правильно. О багах за него должны беспокоится производители и вирусописатели.

anonymous
()
Ответ на: комментарий от anonymous

>Скомпромитировать систему на основе GNU/Linux через этот плагин не получиться. Учим матчасть.

А это тогда что?

http://secunia.com/cve_reference/CVE-2006-5330/ http://secunia.com/cve_reference/CVE-2007-2022/ http://rhn.redhat.com/errata/RHSA-2006-0674.html http://www.novell.com/linux/security/advisories/2006_53_flashplayer.html

alex-w ★★★★★
()
Ответ на: комментарий от anonymous

> Ох какие линуксоиды плохие! Подкупили судей и организаторов, дали на лапу всем хакерам, лишь бы не поломали бубунту. Не подать ли сообществу линукссаксовцев на линуксоидов в суд?

Давно пора. Этот суд будет в линуксойдном гетзефук на первом месте.

anonymous
()
Ответ на: комментарий от alex-w

Вы вообще по сцылке ходили?кто нибудь?ну схадите,пжалуста,а то бред читать подташнивает)

Сначала ломали системы установленные по дефолту, искаропки. это был первый этап, на нем срубили макбук, выиграв 10к. висту и убунту не сломали. Потом черным по белому написано установили на винду и линь наиболее популярные приложения. НА ОБЕ, и обновили наверно, это хз. На этом этапе поломали свисту. получив 5к зеленых.

чего тут неясного?по аглицки читать умеем?

anonymous
()
Ответ на: комментарий от anonymous

>Браузер сам ставит флеш с сайта производителя, т.ч. можешь унять словесный понос и вытереть говно с губ.

Т.е. ты соглашаешься со всем, что тебе предлагает браузер?

alex-w ★★★★★
()
Ответ на: комментарий от alex-w

> А это тогда что?

В худшем случае это компрометация пользователя. Жаль что имбецильность не даёт вам возможности понять такие абстрактные вещи.

anonymous
()
Ответ на: комментарий от anonymous

О! ЛОР в действии: когда иссякают аргументы, то для защиты своей позиции нужно как можно больше дерьма вылить на оппонента. Давайте, давайте, срите...

alex-w ★★★★★
()
Ответ на: комментарий от anonymous

> Кто ж будет покупать "проприетарный" софт, если он по юзабилити будет на одном уровне с "линуксовым"? Несостыковочка. Даже "тупые виндузятники" умеют считать свои кровные.

Тупые виндузятники потому и тупые, что ни разу не видев юзабилити и слыша о юзабилити только со слов таких же кретинов, как и они сами, отказываются даже смотреть на что-либо, кроме винды. Потому что боятся, что "там" всё будет так же дерьмово, как "тут", только ещё придётся разбираться с новым интерфейсом.

anonymous
()
Ответ на: комментарий от anonymous

>Да. А не должен? Почему?

Т.е. если у тебя браузер попросит заполнить информацию по твоей кредитке на левом сайте, то ты заполнишь и отправишь её? Или если он спросит о том, что он хотел бы поставить тебе свежий видеокодек, то ты тоже согласишься на его установку?

alex-w ★★★★★
()
Ответ на: комментарий от ModeZt

> А на самом деле очень показательно то, что ВИСТУ НЕ СЛОМАЛИ.

Показательно то, что её сломали, но взлом не засчитали. Ты просто не умеешь читать больше одного предложения, потому что ты - имбецил.

anonymous
()
Ответ на: комментарий от alex-w

> Сломали не операционки, а приложения. В случае висты это вообще было приложение стороннего разработчика

И что? А в какой-нибудь goubuntu там стоял бы gnash или/и swfdec. И почему же не взломали убунту с помошью того же плагина? Жду очередных перлов твоей феерической логики.

anonymous
()
Ответ на: комментарий от anonymous

> Программное обеспечение GNU/Linux не столь совершенно и попросту не может содержать в себе _высокотехнологичные_ уязвимости, которыми по праву гордятся продвинутые проприетарные системы.

А у меня стоит последняя версия флеша. Скажи, куда мне сходить, чтобы ты скомпрометировал мою ОС?

anonymous
()
Ответ на: комментарий от anonymous

> Первый раз что ли сломали свисту? Начнем с взлома активации и закончим огромными бот нетами.

Некоторые вантузники искренне считают, что ботнетов на висте нет, а есть только на xp.

anonymous
()
Ответ на: комментарий от anonymous

> Первый раз что ли сломали свисту? Начнем с взлома активации и закончим огромными бот нетами.

Даже так. Они считают, что ботнетов на висте нет, есть только на xp и на взломаных руткитами линуксах.

anonymous
()
Ответ на: комментарий от alex-w

> По условиям конкурса тестировалась система по умолчанию (т.е. базовая). В базовую систему не входит Adobe FlashPlayer. Т.е. получается, что софт туда доставляли. С таким же успехом можно было поставить свою реализацию шела под видом какого-нибудь блокнота и воспользоваться им.

Прочитайте условия конкурса, еще раз повторяю.

Igron ★★★★★
()
Ответ на: комментарий от alex-w

>Да ну? Ни одну из операционок не сломали прямыми методами. Собственно поставили бы на убунту флеш от адоба и ее хакнули бы через ту же самую дырку, которую организовали в висте. А что касается тех цитат, которые ты же и приводил, то прежде чем ими бросаться, неплохо бы прочитать правила конкурса перед этим.

не факт. Если в ней включен selinuч или apparmor, то ничего бы не хакнули и с плагином

dikiy ★★☆☆☆
()
Ответ на: комментарий от alex-w

>Но однако точно так же можно поиметь привелигерованные права на Ubuntu использую дырки в том же Firefox.

Можно подробнее, как можно используя дырки в ФФ или ещё где получить привелигерованный доступ к системе (я так понял ты говоришь о root) ?

максимум - будут доступны только мои права. или я чего-то не так понял ?

Qasta
()

>Только ноутбук Sony VAIO c Ubuntu Linux оказался неприступным перед атаками хакеров на конкурсе PWN2OWN

... потому что Ubuntu не удалось подключиться к локальной сети.

anonymous
()
Ответ на: комментарий от alex-w

> Вот сами посудите, можно ли хакнуть мак за менее чем 5 минуты с начала конкурса, если точно не знать об имеющейся уязвимости?

В том и прикол, что если уязвимость в пропиетарщине, то даже если я знаю о ней, я не могу пропатчить её и может даже отослать патч. Способы её использования "для себя" ограничиваются писанием эксплойтов и вирусов.

> для использования уязвимости в сафари нужно было специально сформировать определенную страницу

Знаешь, там не такие уж сложные баги, чтобы формировать страницу было очень сложно. Они собственно из пропиетарщины и выплывают именно потому, что они простые. Багу с переполнением 10 буферов подряд не только хрен найдёшь, но потом ещё и хрен используешь.

> И после этого кто-то может сказать, что данные хаки были "честными"?

Учитывая что твой словесный понос сильно отдаёт имбецильностью, да хаки были честными.

anonymous
()

Тупые хакеры... нужно было попросить поставить дырявый флэшплугин 2006 года и запустить ff от рута, тогда бы унесли сони вайо, а так всего лишь фуджитсу со свистой.

is_a
()
Ответ на: комментарий от alex-w

Тебе что, пообщаться не скем? Давай, жги дальше, открой глаза на то что поддельные люди (очевидно, инопланетяне) движимые своей ненавистью к виндоз висте организовали чудовищную провокацию. Гореть им в аду, да отвернутся от них их (инопланетные) товарищи, пусть проклянут их будущие поколения. Что учинили, сволочи! Взломали не тот компьютер! Показали в неприглядном виде самую лучшую операционную систему всех времен и народов!

Небо, небо не видело таких подлых организаторов.

Давайте незамедлительно акции гражданского неповиновения, до тех пор пока итоги прива^W конкурса не будут пересмотрены и вновь на всех без исключения персональных компьютерах не восстановят знакомую и любимую заставку с четырехцветным флагом - символом открытости честности и стремления помочь людям.

anonymous
()
Ответ на: комментарий от alex-w

> О! ЛОР в действии: когда иссякают аргументы, то для защиты своей позиции нужно как можно больше дерьма вылить на оппонента. Давайте, давайте, срите...

Срали тут пока только вы. Я же просто указал на то, что у вас не хватает абстрактного мышления для отделения совершенно очевидных понятий друг от друга. А так же указал на уважительную для вас причину по которой вы не можете это сделать - болезнь.

anonymous
()
Ответ на: комментарий от alex-w

> Т.е. если у тебя браузер попросит заполнить информацию по твоей кредитке на левом сайте, то ты заполнишь и отправишь её? Или если он спросит о том, что он хотел бы поставить тебе свежий видеокодек, то ты тоже согласишься на его установку?

Данные по кредитке к установке чего относятся? А кодеки меня никто устанавливать пока не просил, но если бы предложили я бы конечно согласился. Я уверен в своей ОС (хотя и не бубунте).

anonymous
()
Ответ на: комментарий от dikiy

> не факт. Если в ней включен selinuч или apparmor, то ничего бы не хакнули и с плагином

Не было там ни selinux, ни apparmor, ни pax. Всё дефолтное + апдейт.

anonymous
()

Ничего нового. Кто-то там писал что виста вся из себя безопасная. А вы сравните для начала что идет в базовой системе и тоже самое в убунте, а теперь сравните количество софта поддерживаемое security team убунты и MS. Даже если брать висту с левым софтом, вы так и будете с голой жопой сидеть пока Вася Пупкин разработчик одной софтины которую вы используете не почешеться,а потом вам нужно найти его сайт,скачать апдейт и установить(большинство софта не умеет автообновление),а это значит нужно самому отслеживать баги в софте и своевременно ставить апдейты в ручную. И никак MS не сможет повлиять на систему. В убунте же настроил автоапдейт из security и спи спокойно,ибо пока пофиксит Вася Пупкин ждать совсем необязательно, если кто-то написал фикс раньше чем это сделал Вася - он уже разойдется по дистрибутивам. Я уже и не говорю о скорости фиксов.
Тут кто писал что типа только debian - ничего против дебиана не имею - хороший дистр, но такие выпады просто смех. Где в дебиане stack-protector? Помойму это единственный дистр где этого до сих пор нет,да будет в ленни я знаю, а толку когда уже везде есть? По дефолту для безопасности ничего нет. В RH Selinux и патчи в ведре, в Suse и Ubuntu AppArmor, в Gentoo gentoo hardened.
И после этого вы будете говорить что debian безопаснее?

takedown
()
Ответ на: комментарий от Qasta

> максимум - будут доступны только мои права.

Да припозднились они с конкурсом. Бубунту могли бы хакнуть только с учётом local-root-exploit, актуальных версий которых сейчас нет.

anonymous
()
Ответ на: комментарий от geek

>модераторы ЛОРа с биореактором в трауре

>geek ** (*) (30.03.2008 7:55:50)

Лоровский биореактор работает на Макоси?

anonymous
()
Ответ на: комментарий от anonymous

>Лоровский биореактор работает на Макоси?

Лоровский биореактор работает на Svista OS SP7, к котором подключено множество терминальных клиентов - на маках...

anonymous
()
Ответ на: комментарий от anonymous

>Лоровский биореактор работает на Svista OS SP7, к котором подключено множество терминальных клиентов - на маках...

Бред. Там сервер 2008 с Аэро. Клиенты да, маки 10.5.2 Леопард

is_a
()

RE:

Че за гон?! Убунта нормальная ось!

MMouXe
()
Ответ на: комментарий от anonymous

>> Очевидно, если написать кривой клиент под линуху (а хоть и попробовать тот же флеш), то и её можно завалить.

> Нельзя.

> p.s. К логопеду, быдло.

Талончик взять не забудьте.

LoGoPeD
()
Ответ на: комментарий от alex-w

>>Скомпромитировать систему на основе GNU/Linux через этот плагин не получиться. Учим матчасть.

> А это тогда что?

Я вас жду!

LoGoPeD
()
Ответ на: комментарий от anonymous

>На соне поди настройку сети поднять не сумели, а gdm такпросто не отдался.

:D

anonymous
()
Ответ на: комментарий от anonymous

>>Только ноутбук Sony VAIO c Ubuntu Linux оказался неприступным перед атаками хакеров на конкурсе PWN2OWN

> ... потому что Ubuntu не удалось подключиться к локальной сети.

Быдло! В очередь!

LoGoPeD
()
Ответ на: комментарий от DOKA

>>И при чем тут Майкрософт? >>Хотите сказать, что можно было ставить любое ПО на комп, что-ли? Не проще ли тогда сразу рутшел воткнуть?

Нет, иди читай внимательно правила.

anonymous
()
Ответ на: комментарий от Igron

>>По условиям третьего этапа соревнования, участники могут осуществлять атаки на любые приложения сторонних разработчиков.

еще один. НЕ _ЛЮБЫЕ_, а популярные (по решению комиссии), так что с таким же успехом можно было ставить флэш и на бубунту.

anonymous
()
Ответ на: комментарий от anonymous

> Извиняюсь, я висту тока 1 раз щупал ))

Ути похабничек)) Руки не забыл помыть потом?

По теме: После месяца работы на висте, пользователя этот UAC так задалбывает, что тот едва ли не долбит по клаве свистаноута. Видел несколько раз таких мышекактузпожирателей.

LoGoPeD
()
Ответ на: комментарий от alex-w

>>+1

>>Сразу после прочтения новости подумалось о том же.

Тебя уже столько раз окунули после твоих слов в дерьмо, а ты еще здесь? Может хватит булькать и стоит почитать правила по ссылке?

anonymous
()
Ответ на: комментарий от anonymous

Ага, ни локалку, ни GDM с X-сервером на Ubuntu поднять не смогли, а уж тем более Wi-Fi, DVB-карту и Win-модем. =]

А ещё говорят, что "Ubuntu is an ancient african word that means "I can not configure Slackware"" (Бубунту на древненигерском значит "Я ниасилил Шлаку"). =]

anonymous
()
Ответ на: комментарий от ModeZt

>Линуксойды не видят то, чего не хотят видеть..

они видят что зашли на linux.org.ru а не винфак. это винфакеры явно страдают слепотой помноженной на безмозглость, постоянно попадая сюда.

black7
()
Ответ на: комментарий от alex-w

>Сломали не операционки, а приложения. В случае висты это вообще было приложение стороннего разработчика

так о том и речь! что на лине достаточно обновить одну узявимую libpng.so и все приложения зависящие от нее в безопасности. а в вантузе пока еще каждый проприетарный вендор подгонит новую версию своего по (как правило задержав, чтобы добавить фич на продажу).

тупому даже будет очевидно что вантуз уязвимее

black7
()
Ответ на: комментарий от alex-w

>Сломали не операционки, а приложения. В случае висты это вообще было приложение стороннего разработчика

И что? Операционная система к этому уже отношения не имеет?

Demon37 ★★★★
()
Ответ на: комментарий от WindowsUser

>LOR во всей своей красоте: "не читал, но осуждаю".

вантузятники во всей красе - обидели их любимый фетишный вантуз. так нет чтоб на винфаке эмо из себя корчить, сюда приползли

black7
()
Ответ на: комментарий от anonymous

> ВИСТУ НЕ СЛОМАЛИ

>Правильно. Она уже была сломана АНБ "из каропки" :)

Уважаемый анонимный аналитик! Будьте так любезны, следите за тем, кому отвечаете.

Слова

> ВИСТУ НЕ СЛОМАЛИ

принадлежат не мне.

Demon37 ★★★★
()
Ответ на: комментарий от black7

>вантузятники во всей красе - обидели их любимый фетишный вантуз. так нет чтоб на винфаке эмо из себя корчить, сюда приползли

>black7 (*) (30.03.2008 15:30:24)

Ути-пуси, красноглазик вспомнил про фетиш:)) Столмана портрет со стенки когда снимешь?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.