Конкурс PWN2OWN (http://cansecwest.com/post/2008-03-20.21:33:00.CanSecWest_PW...) близится к завершению. Новый день соревнований выявил (http://dvlabs.tippingpoint.com/blog/2008/03/28/pwn-to-own-fi...) еще одного победителя. Шейн Маколей (Shane Macaulay), из компании Security Objectives, выиграл ноутбук Fujitsu U810 с Windows Vista Ultimate SP1. Победа стала возможной благодаря 0day уязвимости в Adobe Flash. Согласно политике Zero Day Initiative, подробности уязвимости будут раскрыты только после выпуска исправлений разработчиком программы.Помимо ноутбука, Маколей получит 5 тысяч долларов, которые полагаются за взлом популярного ПО третьей стороны. Популярность определяется жюри и, в данном случае, Adobe Flash соответствовал этому требованию.
Таким образом, под конец соревнований только ноутбук Sony VAIO с Ubuntu устоял перед атаками опытных хакеров.
URL: http://dvlabs.tippingpoint.com/blog/2008/03/28/pwn-to-own-fi...
Новость: http://www.opennet.me/opennews/art.shtml?num=15021
linux rulez. No discussion.
Меня там небыло :(
>Меня там небыло :(Ога, павлин конечно всех заpwn'ит :) словами :).Как каркнет - ему все добровольно пароль от рута дадут в ужасе :)
>>Меня там небыло :(
>
>Ога, павлин конечно всех заpwn'ит :) словами :).Как каркнет - ему все
>добровольно пароль от рута дадут в ужасе :)у него молоток рулит :)
>у него молоток рулит :)Мальчику Билли форточки разбили :)
P.S. тем не менее после этого pwned будет и сам павлинукс.Думаю к нему быстренько применят терморектальный криптоанализ, а это такая штука против которой еще ни 1 система не устояла :)
что и требовалось доказать... =))
ура, все на ubuntu !!!!
А что Adobe Flash не было на Маке и Убунте или они там надёжней.
Ну, на Ubuntu наверное gnash стоял. Да и Adobe влияет на разные системы по разному.
Смешно
Может просто не кто нехочет ноут с Линусом ? им мак ОС на крайня Висту
>Может просто не кто нехочет ноут с Линусом ? им мак
>ОС на крайня Вистуну да. никто не хочет sony vaio.
Fujitsu U810 рулит!
>Может просто не кто нехочет ноут с Линусом ? им мак
>ОС на крайня ВистуУгу.Каждый хакер конечно же мечтает быть pwned чтобы потом с досады грызть пальцы :) ахаха :)
как вариант, а что? ethical hacking
Если убунту устояла... то дистры по серьезней уж тожно устоят...
Фигня какая-то. Что за конкурс, ссылка в никуда,
да и что за конфигурация, где описание тестов и правил проведения, какие сервисы запущены, какие протоколы использованы, без этого похоже на смесь пионерских забав и гетзифактсов.
>Фигня какая-то. Что за конкурс, ссылка в никуда,
>да и что за конфигурация, где описание тестов и правил проведения, какие
>сервисы запущены, какие протоколы использованы, без этого похоже на смесь пионерских
>забав и гетзифактсов.точно-точно!!!
какие-то придурки из каких-то "security" контор (охранники что ли?) проводят какую-то лажу.
дарят ноуты друг-другу!
опять же про СЕРВИСЫ не указали!!!!
Читайте коменты, комрады! All platforms are left in their default configuration, as if a normal desktop user were operating it. Тобиш все было по дефолту... От так от! Так что в очередной раз доказано, что linux rulezzz!
>Читайте коменты, комрады! All platforms are left in their default configuration, as
>if a normal desktop user were operating it. Тобиш все было
>по дефолту... От так от! Так что в очередной раз доказано,
>что linux rulezzz!Po default Adobe Flash Player otsutstvuet na vseh etih platformah. To est ego doustanavlivali.
во-во
Adobe флэш - по дефолту :)
не смешите мои тапки
Дай юзеру дефолтную ось и пусти его гулять в инет. Через минуту флеш уже будет установлен. Наверное, даже вирусов старым IE так быстро не нахватаешь. :)
+1
>+1А дефолтный Win XP (который у большинства юзеров стоит) вообще за целых 5 минут нахождения в сети автоматически получает ловесана или мсбласта :)))
>>+1
>
>А дефолтный Win XP (который у большинства юзеров стоит) вообще за целых
>5 минут нахождения в сети автоматически получает ловесана или мсбласта :)))
>Истина. Это причем со включенным "брандмауэром". Но тут надо отметить, что 2000 без оного вообще через 30 секунд скопытился.
>Истина. Это причем со включенным "брандмауэром".Дело в том что в XP SP0 и SP1 (а лицензионных инсталляционных CD с интегрированным SP2 я честно говоря не знаю) попросту НЕТ никакого брандмауэра.Как класса.А пока там SP2 скачается с его весом... ну в общем юзер уйдет в ребут от ловесана\мсбласта НАМНОГО быстрее чем оно сольется, даже в 100 мбит сети с SUS-ом =).
>Но тут надо отметить, что 2000 без оного вообще через 30 секунд скопытился.
Вообще-то, они в этом плане одинаковы :).Кстати существует немало эксплойтов на ура пробивающих ВСЕ системы - от 2к до висты.А вы серьезно думаете что MS разопрется писать вам новую ос с нуля?Да фиг вам :P
>>Истина. Это причем со включенным "брандмауэром".
>
>Дело в том что в XP SP0 и SP1 (а лицензионных инсталляционных
>CD с интегрированным SP2 я честно говоря не знаю) попросту НЕТ
>никакого брандмауэра.Как класса.А пока там SP2 скачается с его весом... ну
>в общем юзер уйдет в ребут от ловесана\мсбласта НАМНОГО быстрее чем
>оно сольется, даже в 100 мбит сети с SUS-ом =).
>И кто это тебе сказал что в XP до SP2 НЕТ никакого брандмауэра? Может быть сначала матчасть выучим, а только потом такие заявления с зажатым шифтом писать будем?
>Дело в том что в XP SP0 и SP1 (а лицензионных инсталляционных
>CD с интегрированным SP2 я честно говоря не знаю) попросту НЕТ
>никакого брандмауэра.Как класса.Вообще-то, главное в SP1 - собственно наличие брандмауэра. Так что ступайте обратно в школу - учиться, учиться и учиться.
P.S. Держу в руках подлинный диск XP Pro SP2 OEM - а его оказывается и не существует :)
Эта.... дистр с Win XP SP2 меня на столе лежит. Так что не надо. У тебя устаревшие данные. :-)
А что за сплоиты, которые всё и вся пробивают? ;-) Где порыться? Что, прям вот так в паблике? ;-)
>>>+1
>>
>>А дефолтный Win XP (который у большинства юзеров стоит) вообще за целых
>>5 минут нахождения в сети автоматически получает ловесана или мсбласта :)))
>>
>
>Истина. Это причем со включенным "брандмауэром". Но тут надо отметить, что 2000
>без оного вообще через 30 секунд скопытился.Руки у Вас по х$й заточены, у нас в ИТР стоят и 2000 и ХР и даже кое-где 98 (на производстве: кука).
Уже сколько лет крутятся: "износу нет". При этом все лазают в инет (кроме производственной сети).
Самое прикольное, что 98-я винда сегодня едвали не самая безопасная для лазания по сети. :-)))
Современные черви на ней не живут. :-) Так что, если из-за роутера, то вообще всё замечательно. :-)))
Парадокс?
>Читайте коменты, комрады! All platforms are left in their default configuration, as
>if a normal desktop user were operating it. Тобиш все было
>по дефолту... От так от! Так что в очередной раз доказано,
>что linux rulezzz!партайгеноссе, ссылочку на описание дефолтной конфигурации normal desktop user потрудитесь? и где это отождествляется с дефолтной конфигурацией ОС?
иначе вы трепло. уж очень безапелляционно заявлено.
Для тех, кто в бронепоезде: http://dvlabs.tippingpoint.com/blog/2008/03/19/cansecwest-pw...
Сааааааамый конец...
>Сааааааамый конец...И что там? Раааааааааааскажи?
P.S. По ссылке ходил, ничего не увидел.
>>Сааааааамый конец...
>
>И что там? Раааааааааааскажи?
>
>P.S. По ссылке ходил, ничего не увидел.Там в конце какой-то чувак написал что все платформы рассматриваются в дефолтной конфигурации как если-бы обычный юзер их пользовал. Короче, похоже туда сажали секретарш и они сидели 3 дня на нонэйм и одноклассниках, а их в это время пытались хакнуть.
>секретарш и они сидели 3 дня на нонэйм и одноклассниках, а
>их в это время пытались хакнуть.Ну и чего?Нормальный usage scenario.Технари как раз после таких и проводят карантинные мероприятия.Так что все вполне реалистично.
>Ну и чего?Нормальный usage scenario.Технари как раз после таких и проводят карантинные
>мероприятия.Так что все вполне реалистично.Так я серьёзно и говорил.
Limit one laptop per contestant.
You can't use the same vulnerability to claim more than one box, if it is a cross-platform issue.
Thirty minute attack slots given to contestants at each box.
Attack slots will be scheduled at the contest start by the methods selected by the judges.
Attacks are done via crossover cable. (attacker controls default route)
RF attacks are done offsite by special arrangement...
No physical access to the machines.
Major web browsers (IE, Safari, Konqueror, Firefox), widely used and deployed plugin frameworks (AIR, Silverlight), IM clients (MSN, Adium, Skype, Pigdin, AOL, Yahoo), Mail readers (Outlook, Mail.app, Thunderbird, kmail) are all in scope.
Вернее, даже так:
Day 1: March 26th: Remote pre-auth
All laptops will be open only for Remotely exploitable Pre-Auth vulnerabilities which require no user interaction. First one to pwn it, receives the laptop and a $20,000 cash prize.
The pwned machine(s) will be taken out of the contest at that time.Day 2: March 27th: Default client-side apps
The attack surfaces increases to also include any default installed client-side applications which can be exploited by following a link through email, vendor supplied IM client or visiting a malicious website. First one to pwn it receives the laptop and a $10,000 cash prize.
The pwned machine(s) will be taken out of the contest at that time.Day 3: March 28th: Third Party apps
Assuming the laptops are still standing, we will finally add some popular 3rd party client applications to the scope. That list will be made available at CanSecWest, and will be also posted here on the blog. First to pwn it receives the laptop and a $5,000 cash prize.MacOS X ломанули во второй день, а Windows Vista - в третий.
Новость буллщитНадо было еще MS-DOS поставить в дефолтной конфигурации без сети и пытаться его ломать годами, а потом сказать, что он самый защищенный.
Выучил умное слово MS-DOS? Поздравляю, а теперь ужаснись - в те времена существовали модемные соединения и это оказывается тоже сеть и через это тоже можно пытаться ломать, например BBS.
Хм.. без сети не катит, ломать не выйдет=)
Ну у меня в досе сеть есть tcp/ip очень удобно=) Если ещё сверху вин 3.1 поставить, то можно в тесты=)
Хочу ноутбук Sony VAIO с Linux Ubuntu
>> Хочу ноутбук Sony VAIO с Linux UbuntuПойди и купи. В чём проблема?