[HWSW]

A kanadai CanSecWest biztonsági konferencián idén negyedszer rendezték meg a Pwn2Own hackerversenyt, amelyen idén is a böngészõket vették tûz alá és a Google Chrome kivételével néhány perc alatt mindegyiket feltörték.
http://www.hwsw.hu/h...ari-iphone.html

[*Iguana*]

Operát nem törtek?
Minit se?
Kíváncsi lettem volna pedig...

[debaj]

A hivatalos oldalon nem találtam meg: mi számít a böngésző feltörésének? Kattints ide-add meg az adminjelszót, vagy ennél komolyabb cuccot kell prezentálnia a versenyzőnek?

[floatr]

Ezek szerint akkor az IE8-al együtt a win7 is megbukott? Sandbox, UAC megkerülve?

[szeder]

Pontosítás: Nils tavaly az IE8-at, Safarit és Firefoxot egyaránt megtörte, ebben a sorrendben, összesen 15k$-ért. link

Szerkesztette: szeder 2010. 03. 25. 10:49 -kor

[Ytse]

@szeder: köszi!

[norbijúzer]

@*Iguana*:
az operára én is kiváncsi lennék...

[blalo]

A verseny fõszponzora a Google?

[Ytse]

@norbijúzer: én meg kíváncsi lettem volna a Linuxra. Tavaly volt Ubuntu "versenyszám" is, idén kiszedték, vajon miért?

[szeder]

Idézet: Ytse - Dátum: 2010. 03. 25. 11:39

@norbijúzer: én meg kíváncsi lettem volna a Linuxra.

Bár Charlie Miller nem szervező, hanem csak résztvevő, azt nyilatkozta, hogy azért nincs vmiféle Linux, mert kevesen használják desktopon, és a Linuxon futó böngészők úgyis futnak Windowson is. Pedig szerintem érdekes lett volna, mivel manapság a böngésző hibájának kihasználásához meg kell kerülni az OS specifikus DEP-t és ASLR-t.
De úgyis csak flame lett volna belőle, hogy "miért X disztribúciót választották, az köztudomásúan szar, inkább Y-t kellett volna, és idióta, aki nem így gondolja".
Csak remélni tudom, hogy az igazi blackhatek is hasonlóan gondolják, és inkább a Windowsokat és Maceket hekkelgetik, az én zuglinuxomat meg addig is békén hagyják.

Idézet: Ytse - Dátum: 2010. 03. 25. 11:39

Tavaly volt Ubuntu "versenyszám" is, idén kiszedték, vajon miért?

Egyébként AFAIR tavaly sem volt Linux, csak talán 2008-ban.

[4rn0ld]

Én meg még valamelyik nyílt forrású BSD-re is kíváncsi lettem volna. A csuda vigye el, megint nem tudom meg.

[Gabbesz]

@debaj: Ugye ez most nem komoly kérdés volt?!

[debaj]

Idézet: Gabbesz - Dátum: 2010. 03. 25. 13:56

@debaj: Ugye ez most nem komoly kérdés volt?!

De, komoly kérdés volt, valamelyik korábbi fordulóban a Macbook Airen futó Leopardot ugyanis éppen egy ilyen módszerrel "törték fel" másodpercek alatt. Nem tudom, ki hogy van vele, de ha ez is így működött, akkor igazából fölösleges volt elkezdeni.

Szerkesztette: debaj 2010. 03. 25. 14:02 -kor

[webdev]

@debaj: az számít feltörésnek, ha a hackernek sikerül hozzáférnie a böngészõn keresztül személyes adatokhoz, mint jelszavak, e-mailek, rendszeradatok vagy ilyesmi.

[Jahno]

Idézet: debaj - Dátum: 2010. 03. 25. 10:05

A hivatalos oldalon nem találtam meg: mi számít a böngésző feltörésének? Kattints ide-add meg az adminjelszót, vagy ennél komolyabb cuccot kell prezentálnia a versenyzőnek?

"A weboldal meglátogatása során a kártékony kód kiolvasta a telefonból az összes tárolt SMS-t,"

Meg ilyenek. Explorer ettől függetlenül érdekelne, mert nekem meg az a bajom, hogy már a WUn is kérdez, hogy akarom-e futtatni, vagy az oldal az tartalmat, egyéb .exe-t hív, szóval kíváncsi lennék a weboldalakra.

[debaj]

Idézet: webdev - Dátum: 2010. 03. 25. 16:40

@debaj: az számít feltörésnek, ha a hackernek sikerül hozzáférnie a böngészõn keresztül személyes adatokhoz, mint jelszavak, e-mailek, rendszeradatok vagy ilyesmi.

Akkor átfogalmazom a kérdést, úgy látom, elsőre nem voltam világos: igénybe vehet ehhez gondolkodás nélkül mindenféle linkekre kattintó, mindent olvasás nélkül leokézó, adminjogokkal rendelkező helyi júzert, vagy magára van utalva?

Szerkesztette: debaj 2010. 03. 25. 16:49 -kor

[Jahno]

Idézet: debaj - Dátum: 2010. 03. 25. 16:48

Akkor átfogalmazom a kérdést, úgy látom, elsőre nem voltam világos: igénybe vehet ehhez gondolkodás nélkül mindenféle linkekre kattintó, mindent olvasás nélkül leokézó, adminjogokkal rendelkező helyi júzert, vagy magára van utalva?

Admin jogokkal rendelkezőnek mi értelme lenne? Bár egy szifonon pld. nincs is ilyen megkülönböztetés, ott érdekes, hogy lenyúlta az SMSeket. De ha telepíthet, meg Javat futtathat, akkor ott már nem is biztos, hogy a böngészőben van nagy luk, jogos az elmélkedésed.

[Sipi]

Idézet: Jahno - Dátum: 2010. 03. 25. 17:16

Admin jogokkal rendelkezőnek mi értelme lenne? Bár egy szifonon pld. nincs is ilyen megkülönböztetés, ott érdekes, hogy lenyúlta az SMSeket. De ha telepíthet, meg Javat futtathat, akkor ott már nem is biztos, hogy a böngészőben van nagy luk, jogos az elmélkedésed.

Valakinek indulni kéne ezen a versenyen, hogy megtudjuk.

[debaj]

Idézet: Jahno - Dátum: 2010. 03. 25. 17:16

De ha telepíthet, meg Javat futtathat, akkor ott már nem is biztos, hogy a böngészőben van nagy luk, jogos az elmélkedésed.

Meg igazából a "percek alatt" is érvényét veszti, gondolom, nem ott kezdték el lekódolni az exploitot. Igazából eddig az összes Pwn2Own arról szólt, hogy mindenki szépen kivárta, amikor már lehet az otthon összecsiszolgatott túrókat is kattingatni, aztán a sajtó meg kürtölte bőszen, hogy percek alatt széttette a lábát a gép.

Egyszer kíváncsi lennék egy olyan hackerversenyre, amikor ott áll az üres gép, és hajrá, vagy akár legyen ott a kattingatós júzer, de ne az ő gépe legyen a célpont, hanem a virtuálisan három háztömbbel arrébb levő, de hálózatról elérhető nagyvas, ami a grafitrudakat húzgálja a reaktorban. Meghajlok a tudásuk előtt, nem arról van szó, csak akkor írja a sajtó, hogy két perc alatt reccsentették meg a rendszert, ha tényleg két perc alatt reccsentették meg a rendszert.

[Jahno]

Idézet: Sipi - Dátum: 2010. 03. 25. 17:23

Valakinek indulni kéne ezen a versenyen, hogy megtudjuk.

Én párszor írtam a HWSWnek, hogy a közzétett sallangon kívül kicsit tényfeltárhatnának, vagy hasonló, de nem voltak rá vevők, ez van opcióval. Amúgy szerintem nem lenne bonyás pár kérdést összevésni, utánajárni, ha már.