Obiekt: MacBook Pro. Cel: włamanie. Nagroda: 10 tys. USD

W trakcie zorganizowanej w Vancouver konferencji CanSecWest (poświęconej tematyce bezpieczeństwa komputera) zorganizowano nietypowy konkurs. Jego uczestnicy musieli bowiem włamać się do komputera MacBook Pro, za co przewidziano nagrodę w wysokości 10 tys. dolarów.

Jak przekonuje jeden z organizatorów konferencji, Dragos Ruiu, ideą konkursu było zwrócenie uwagi na kwestie bezpieczeństwa dotyczące produktów firmy Apple. "Coraz więcej osób używa Mac OS X, twierdząc, iż to bezpieczny system, a szczerze mówiąc, Microsoft przykłada więcej wagi do bezpieczeństwa niż Apple", przekonywał Ruiu.

Konkurs początkowo przeznaczony był tylko dla zaproszonych uczestników konferencji, którzy mieli włamać się do komputera przez bezprzewodowy punkt dostępowy. Początkowe zasady konkursu przewidywały stworzenie exploita atakującego komputer bez interakcji użytkownika - nagrodą za to był rzeczony MacBook Pro. Uczestnicy konferencji nie powitali tego z entuzjazmem, licząc się z ryzykiem, że exploit taki mógłby być sprzedany nawet za 20 tys. USD.

Zasady jednak zmieniono. Udział w zawodach umożliwiono użytkownikom nieobecnym na konferencji - mogli oni w konkursie wykorzystać również exploity w postaci "złośliwych" stron internetowych; dodano też do listy nagród premię pieniężną. Włamanie do MacBooka Pro udało się nowojorczykowi o nazwisku Dino Dai Zovi, który w ciągu niecałych 12 godzin pracy wykrył i wykorzystał lukę w odtwarzaczu QuickTime, co pozwoliło mu uzyskać pełną kontrolę nad atakowanym systemem.

Zwycięzca oprócz nagrody pieniężnej otrzymał również MacBooka Pro 2,3 GHz z 15-calowym wyświetlaczem, do którego wcześniej się włamał.

W związku z opisanym konkursem pojawiły się też opinie, że data udostępnienia ostatniego pakietu uaktualnień dla produktów Apple nie była przypadkowa.

Więcej infomacji: The Register

Aktualizacja: 26 kwietnia 2007 08:08

Błąd, który wykorzystał zwycięzca konkursu, znajdował się nie w przeglądarce Safari, jak wcześniej donosiliśmy, ale w odtwarzaczu QuickTime.

Eksperci ds. komputerowego bezpieczeństwa ostrzegają, iż zagrożeni exploitem mogą być nie tylko użytkownicy Mac OS, ale wszyscy internauci korzystający z przeglądarek internetowych z włączoną obsługą Javy.


Zobacz również