PWN 2 OWN: Mac pierwszą ofiarą

Niespełna dwóch minut potrzebował niejaki Charlie Miller, by uruchomić złośliwy kod i przejąć kontrolę nad komputerem MacBook Air pracującym pod kontrolą w pełni uaktualnionego systemu Mac OS X - a także zdobyć w ten sposób 10 tys. USD i ów komputer. Miller wygrał właśnie jeden z trzech etapów konkursu PWN 2 OWN, zorganizowanego podczas odbywającej się w kanadyjskim Vancouver konferencji CanSecWest - na włamanie czekają jeszcze dwa komputery, pracujące pod kontrolą Windows Vista (Fujitsu U810) oraz Ubuntu Linux (VAIO VGN-TZ37CN).

Konkurs PWN 2 OWN 2008 (w wolnym tłumaczeniu "przejmij i wygraj") to już druga edycja tej zabawy - pierwsza odbyła się rok temu, również podczas CanSecWest. Główna różnica między tegorocznym konkursem a tym sprzed 12 miesięcy polega na tym, że w ubiegłym roku zadanie uczestników polegało na włamaniu się do jednego komputera - MacBooka z Mac OS X. W tym roku cele są trzy - Mac OS X 10.5.2, Windows Vista oraz Ubuntu Linux 7.10. Osoba, która jako pierwsza włamie się do jednej z maszyn wykorzystując nieznany wcześniej błąd w systemie (lub domyślnie zainstalowanej w nim aplikacji), pozwalający na nieautoryzowane uruchomienie kodu, otrzyma ów notebook oraz nagrodę w gotówce. Konkurs rozpoczął się 26 marca i potrwa do 28.

Fundatorem nagród - podobnie jak w ubiegłym roku - będzie firma TippingPoint (należąca do koncernu 3Com Corp.). "Przez wiele miesięcy zastanawialiśmy się, jak powinien wyglądać regulamin konkursu. Ostatecznie zdecydowaliśmy się przeprowadzić go tak, by był to dla uczestników prawdziwy test ogniowy" - mówi Dragos Ruiu, jeden z organizatorów konferencji. Ustalono, że jeśli ktoś zdoła włamać się do komputera "zdalnie", zgarnie 20 tys. USD (i komputer); jeśli uczestnik dokona tego uruchamiając podstawowe aplikacje dostarczone z systemem (siedząc przy komputerze) - dostanie 10 tys. USD i laptopa, zaś jeśli dokona tego poprzez atak na jeden z popularnych programów produkowanych przez zewnętrznego dostawcę, nagrodą będzie 5 tys. USD (+ komputer). Każdego dnia konkursu można było przeprowadzać inny typ ataku - środa była dniem atakowania systemu przez sieć, w czwartek można było atakować system operacyjny i dołączone aplikacje siedząc przed komputerem, zaś w piątek celem ataku może być również oprogramowanie dodatkowe.

Charlie Miller (na pierwszym planie) podczas uruchamiania złośliwego kodu w Mac Booku Air (fot. oficjalny blog TippingPoint)

Charlie Miller (na pierwszym planie) podczas uruchamiania złośliwego kodu w Mac Booku Air (fot. oficjalny blog TippingPoint)

Od początku konferencji - czyli od środy (26.III) - uczestnicy mogli atakować wszystkie trzy maszyny. Komputery były podłączone do sieci lokalnej Ethernet (w ubiegłym roku urządzenia podłączone były do Wi-Fi, jednak spowodowało to pewne problemy z weryfikacją informacji o atakach - dlatego zrezygnowano z sieci bezprzewodowej).

Aktualizacja: 29 marca 2008 12:58

Wygląda na to, że system Mac OS X 10.5 okazał się wyjątkowo podatny na włamanie. Vista i Ubuntu pierwsze dwa dni przetrwały bez szwanku.

Dlatego aby po raz kolejny ułatwić hakerom zadanie, pozwolono im na zainstalowanie dowolnej aplikacji firm trzecich. Za ominięcie zabezpieczeń komputera zwycięzca miał otrzymać laptop oraz nagrodę w wysokości 5000 dolarów.

Vista SP1 - włamanie przez dziurę w Adobe Flash

Okazało się, że wczoraj (3., ostatni dzień konkursu), po siedmiu godzinach zmagań, poległ laptop z systemem Windows Vista. Haker Shane Macaulay - dzięki pomocy kolegów, Aleksandra Sotirowa i Dereka Callawaya - przejął nad nim kontrolę wykorzystując lukę w Adobe Flash.

Do końca imprezy wytrzymał jedynie notebook z Ubuntu Linuksem, do którego nie zdołał się dobrać żaden ze specjalistów.


Zobacz również