Search the Community
Showing results for tags 'CanSecWest'.
Found 5 results
-
Google zaoferował w sumie milion dolarów za złamanie zabezpieczeń przeglądarki Chrome podczas najbliższych zawodów Pwn2Own. W zależności od ciężaru gatunkowego znalezionych luk wyszukiwarkowy gigant wypłaci 60, 40 i 20 tysięcy dolarów nagrody. Pieniądze trafią do osób, które jako pierwsze wykorzystają daną dziurę. Zawody Pwn2Own odbywają się podczas konferencji CanSecWest. W przyszłym tygodniu będzie miała miejsce ich siódma edycja. W ubiegłym roku uczestnicy nawet nie próbowali łamać zabezpieczeń Chrome’a. Obecnie jest to jedyna przeglądarka biorąca udział w Pwn2Own, która nigdy nie została pokonana podczas tych zawodów. Uczestnicy konkursu mówią, że nie próbują jej atakować, gdyż bardzo trudno jest wyjść poza tzw. piaskownicę (sandbox) stosowaną w Chrome. Google poinformowało jednocześnie, że wycofuje się z funkcji sponsora Pwn2Own, gdyż nowy regulamin konkursu przewiduje, iż jego zwycięzca może otrzymać nagrodę nawet wówczas, gdy nie zdradzi szczegółów luki, którą wykorzystał do przeprowadzenia ataku.
-
Charlie Miller, ekspert ds. bezpieczeństwa znany ze znalezienia licznych luk w systemie Mac OS X, zapowiada, że w przyszłym tygodniu podczas konferencji CanSecWest ujawni około 20 dziur typu zero-day, które są obecne w systemie Apple'a. Mac OS X stwarza wiele okazji do ataku. Dziury znajdują się zarówno w komponentach opensource'owych, programach o zamkniętym kodzie produkowanych przez firmy trzecie (jak np. Flash) i podobnych programach Apple'a. Wszystkie onepozwalają na zdalne przełamanie zabezpieczeń komputera - mówi Miller. Odkrył on wspomniane luki używając techniki fuzzingu, czyli dostarczania aplikacjom olbrzymiej ilości nieprawidłowo skonstruowanych danych. W hackerskich konkursach systemy Apple'a są zwykle tymi, które udaje przełamać się jako pierwsze. Zdaniem Millera Mac OS X jest mniej bezpieczny od konkurencji. Jednak, jak zauważa, generalnie rzecz biorąc jego użytkownicy nie są zbytnio zagrożeni. Mac OS X można porównać z życiem w wiejskim domku, w którym nie ma zamka w drzwiach. Windows to jak życie w domu z kratami w oknach, ale w złej dzielnicy miasta - stwierdza Miller. Ostrzega jednocześnie, że o ile niska popularność systemu chroni przed zdecydowaną większością masowych ataków, to w przypadku takich działań jak głośna Operation Aurora - kiedy to doszło do precyzyjnych ataków na Google'a i 30 innych amerykańskich firm, a atakujący wykorzystali dziurę w Internet Explorerze - posiadacz słabo zabezpieczonego komputera jest bezbronny. Miller uważa, że Apple nie przejmuje się zbytnio bezpieczeństwem. "Sprzedają wiele komputerów, a nikt nie zrezygnuje z zakupu sprzętu Apple'a tylko z powodu obaw o bezpieczeństwo. Tak więc uważają, że nie mają problemu z bezpieczeństwem, gdyż nie zagraża to ich interesom" - mówi.
-
- CanSecWest
- zero-day
-
(and 3 more)
Tagged with:
-
Podczas tegorocznych zawodów hackerskich PWN2OWN, odbywających się z okazji konferencji CanSecWest, systemem, który najszybciej padł ofiarą włamania był Mac OS X. Pokonał go ten sam Charlie Miller, który w ubiegłym roku w ciągu 2 minut włamał się do maszyny z systemem Apple'a. Tym razem włamanie zajęło nie więcej niż 10 sekund. Podobnie jak przed rokiem, Miller otrzymał 5000 dolarów nagrody. Regulamin PWN2OWN przewiduje, że przy próbie włamania można podsunąć użytkownikowi komputera odnośnik prowadzący do serwera ze szkodliwym kodem. Tak też zrobił Miller. Wcześniej przygotował odpowiedni kod i gdy operator komputera z w pełni załatanym systemem Mac OS X, korzystając z w pełni załatanej przeglądarki Safari, kliknął na odnośnik, doszło do infekcji. W jej wyniku Miller uzyskał pełny dostęp do zaatakowanej maszyny. Przedstawiciele Apple'a zostali poinformowani o szczegółach ataku. Drugim komputerem, który poddał się włamywaczom był laptop z systemem Windows 7. Przejęto nad nim kontrolę dzięki błędowi w Internet Explorerze 8. Później doszło do kolejnego włamania na platformę Mac OS X dzięki błędowi w Safari. Ostatni poddał się Firefox. Nie poinformowano jednak, czy był to Ognisty Lis pracujący pod kontrolą Windows 7 czy Mac OS X. Trzech ostatnich włamań (do IE8, Safari i Firefoksa) dokonał ten sam haker o pseudonimie Nils. Za każde włamanie otrzymał 5000 dolarów oraz laptopa, którego zabezpieczenia przełamał. Konferencja CanSecWest potrwa do piątku. W międzyczasie odbędą się też zawody we włamywaniu do systemów operacyjnych dla urządzeń przenośnych. Atakowane będą Windows Mobile, Android, Symbian oraz systemy używane przez iPhone'a i BlackBerry. Charlie Miller już oświadczył, że nie weźmie udziału w tych zawodach, gdyż nie potrafi poradzić sobie z systemami mobilnymi.
-
Podczas konferencji CanSecWest jedynie laptop z systemem Ubuntu 7.10 pozostał odporny na ataki hakerów. Pierwszego dnia hakerzy mieli do wyboru laptopy z w pełni załatanymi systemami Windows Vista Ultimate, Mac OS X 10.5.2 oraz Ubuntu 7.10. Ich zadaniem było zdalne włamanie się do komputerów z wykorzystaniem wcześniej nieznanej luki. Nikomu się to nie udało. Drugiego dnia uczestnicy zawodów włamywali się siedząc bezpośrednio przy komputerach, a do włamania mogli wykorzystać aplikacje dostarczane standardowo ze wspomnianymi systemami. Dwie minuty po rozpoczęciu zawodów Charlie Miller złamał Mac OS X-a wykorzystując dziurę w przeglądarce Safari. Oczywiście tak szybkie złamanie zabezpieczeń było możliwe dzięki temu, że Miller dużo wcześniej znalazł lukę i dokładnie poznał sposób włamania. Trzeciego dnia na atakowanych komputerach można było zainstalować dowolną aplikację firmy trzeciej i wykorzystać ją do włamania. Po kilku godzinach o sukcesie poinformował Shane Macaulay, który wraz z dwoma kolegami wykorzystali błąd w odtwarzaczu Flash firmy Adobe i złamali zabezpieczenia Windows Visty. Początkowo trudność Macaulayowi sprawił Service Pack 1 dla Visty, którego wcześniej nie testował i nie wiedział, w jaki sposób wykorzystać znalezioną wcześniej lukę we Flashu. W końcu jednak mu się do udało. Haker podkreśla, że tę samą dziurę jest w stanie wykorzystać do włamania zarówno na Mac OS X-a, jak i na Linuksa. Jego zdaniem, bez względu na wysiłki firm produkujących systemy operacyjne, zawsze będą one podatne na atak. Nikt nie jest w stanie nic z tym zrobić, bo zawsze można zainstalować oprogramowanie, które pozwoli na obejście zabezpieczeń. Jeśli nie będzie to Java, to będzie to coś innego - stwierdził Macaulay.
-
W kanadyjskim Vancouver trwa konferencja CanSecWest, podczas której hakerzy próbują przełamać zabezpieczenia jednego z trzech systemów: Linuksa Ubuntu 7.10 zainstalowanego na laptopie VAIO VGN-TZ37CN, Windows Visty Ultimate z SP1 na komputerze Fujitsu U810 oraz Mac OS X-a 10.5.2 na maszynie MacBook Air. Hakerski konkurs PWN to Own trwa od środy i zakończy się dzisiaj. W czasie pierwszego dnia zadaniem uczestników było zdalne włamanie się do komputerów bez interakcji ich użytkowników. Nagroda to 20 000 dolarów oraz laptop, do którego udało się włamać. Pierwszego dnia nikomu nie udało się przełamać zabezpieczeń systemów. Kolejny etap był już łatwiejszy. Hakerzy mogli atakować nie tylko system operacyjny, ale i standardowo dołączone doń oprogramowanie. Ponadto dopuszczalny był atak zakładający interakcję użytkownika. Tej próby nie przeszedł Mac OS X. Jedynie 30 sekund (2 minuty od momentu, gdy usiadł przed komputerem, by go włączyć) było potrzeba, by włamać się do komputera przy użyciu nieznanej wcześniej luki w przeglądarce Safari. Charlie Miller, analityk firmy ISE i autor włamania, mówi: Za każdym razem, gdy zaczynam szukać luk w Leopardzie, to coś znajduję. Nie mogę powiedzieć tego samego o Linuksie i Windows. W ubiegłym roku znalazłem dziurę w iPhonie, w Safari i luki w QuickTime. Atakom wciąż opierają się Windows Vista i Ubuntu 7.10. Dzisiaj przejdą ostateczną próbę. Uczestnicy zawodów mają prawo zainstalować i zaatakować dowolną aplikację firmy trzeciej. Autor udanego włamania otrzyma 5000 USD i laptopa.