“The MacBook Air went first; a tiny Fujitsu laptop running Vista was hacked on the last day of the contest; but it was Linux, running on a Sony Vaio, that remained undefeated as conference organizers ended a three-way computer hacking challenge Friday at the CanSecWest conference.”(bron)
Mooi zoiets. Tijdens de CanSecWest conferentie in Vancouver Canada mochten hackers proberen een drietal systemen te kraken: * VAIO VGN-TZ37CN (kon geen link vinden) met Ubuntu 7.10
* Fujitsu U810 met Vista Ultimate SP1
* MacBook Air met OSX 10.5.2
Zoals de naam van de wedstrijd al zegt: PWN2OWN (Wikipedia over PWN). Als je de machine kon hacken, dan mocht je hem meenemen. Maar niet alleen dat, afhankelijk van het moment van hacken kreeg je ook nog een aardig geldbedrag mee.
De Macbook Air “viel” als eerste en leverde de gelukkige hacker niet alleen een heel platte Macbook op maar ook nog eens $10.000,-
De Vista machine ging als tweede eruit en alleen de Linux machine bleef ongehackt.
En waarom vind ik dit nou mooi? Nee, niet vanwege de volgorde van hacken. Dat interesseert me helemaal niets. Maar gewoon om de wedstrijd. Een stel knappe koppen bij elkaar en een drietal machines. Gelukkig winnen de knappe koppen dan nog steeds twee van de drie keer.
De software is ook gemaakt door knappe kopen, mogen we aannemen. Dus de knapste koppen zitten bij de ontwikkelaars van Ubuntu en Linux.
Is er ook bekend HOEVEEL zich op de respectievelijke apparaten hebben gestort?
De eerste dag overleefden alle systemen probleemloos.
De tweede dag werd de MacBookAir naar een speciaal geprepareerde website geleid die gebruik maakte van een kwetsbaarheid in Safari en viel ten prooi aan een daardoor mogelijk gemaakte telnet verbinding.
Dat de MacBookAir dus binnen twee minuten voor de bijl ging had alles te maken met de voorbereiding: Men wist tevoren van de kwetsbaarheid en had vooraf een website geprepareerd die hiervan gebruik (misbruik) kon maken. En dus niet – zoals sommige media beweren – dat een ‘onvoorbereide hacker’ er in geslaagd was om binnen twee minuten een gat in OSX te vinden.
Saillant detail: er was een team die een vergelijkbare kwetsbaarheid in Vista had voorbereid, maar deze was net gedicht door SP1 die vlak voor de competitie was uitgebracht en op het systeem geïnstalleerd.
Uiteindelijk werd het Vista systeem gehackt op dag 3 via een kwetsbaarheid in Adobe’s Flash.
De kwetsbaarheid in OSX blijkt trouwens een Javascript probleem te zijn in de Webkit. Dus niet in het OS zelf, maar in een 3rd party gedeelte wat door Safari gebruikt wordt. Apple acht zich hier uiteraard wel verantwoordelijk voor en het lek is inmiddels gedicht door het Webkit team en is nu al verwerkt in de nightly builds van Webkit en zal binnenkort (wanneer het volledig uitgetest is) in een officiële Safari (security) update verschijnen.
Bron: http://www.macfreak.nl/readnews.php?n…
Ps Ik kom er nog steeds niet goed uit hoe ik hier een url maak. Wellicht de uitleg iets beter maken pierre?
PsPs Je site is vandaag weer tergend traag…
@Bram: dank je voor de uitgebreide uitleg!
Wat de links betreft denk ik dat ik beter een uurtje extra in de conversie naar WordPress kan steken. En dan weet ik daarna ook hoeveel van de traagheid echt van Dreamhost komt in plaats van mogelijk de combinatie tool + (gedeeltelijk zelf geschreven) plugins.
@pierre: ik wacht in spanning af