Hackerverseny meglepő eredménnyel
A CanSecWesten mindössze két percre volt szükség ahhoz, hogy az egyik Macintosh számítógép áldozattá váljon.
A CanSecWest biztonsági rendezvény keretében tartották meg az idei év egyik jelentős, több napos, PWN2OWN hacker versenyét. Az alapvető szabály az volt, hogy a versenyzőknek úgy kellett hozzáférniük a rendelkezésre bocsátott Mac OS X (10.5.2), Linux (Ubuntu 7.10), illetve Windows Vista (Ultimate SP1) alapú számítógépek fájlrendszeréhez, hogy közben olyan nulladik napi sebezhetőséget használtak fel, amely eddig még nem került napvilágra.
A résztvevőknek az első napon csak hálózaton keresztül, mindenféle külső és felhasználói közreműködés nélkül kellett megkísérelniük a háromféle rendszer valamelyikének feltörését. E próbálkozások mind kudarcot vallottak. Ekkor következett a második nap, amikor a hackerek már “felhasználói segítséget” is igénybe vehettek. Azaz a számítógép előtt ülő személyeket megtévesztő módon rávehették arra, hogy mondjuk kártékony weboldalakat látogassanak meg, vagy emaileket tekintsenek meg. Ezek a küzdelmek már jóval nagyobb kihívást jelentettek a különféle rendszerekre nézve. Olyannyira, hogy a MacBook számítógép mindössze két percig állta a sarat.
A résztvevők: MacBook Air (Mac OS X), Fujitsu U810 (Windows Vista) és Sony VAIO VGN-TZ37CN (Linux)
A két perces időeredmény Charles Miller nevéhez fűződik, aki egykoron az amerikai Nemzetbiztonsági Hivatal alkalmazottja volt. ő a verseny során a Safari böngésző egyik sebezhetőségét használta ki, majd fért hozzá a MacBook fájlrendszeréhez. Ezzel kiérdemelte a 10 ezer dolláros jutalmat és egy MacBook számítógépet. A megmérettetés komolyságát az is jól jelzi, hogy mielőtt átvehette volna a nyereményeket, azelőtt egy titoktartási nyilatkozatot kellett aláírnia, amelyben kikötötték számára, hogy addig nem hozhatja nyilvánosságra az általa kihasznált sérülékenység részleteit, amíg a biztonsági cégek, illetve a fejlesztők nem tették meg a szükséges megelőző védelmi intézkedéseket.
Dino Dai Zovi
Érdekes megemlíteni, hogy a tavalyi hacker versenyen Dino Dai Zovi nyert, aki akkor egy QuickTime sebezhetőség révén tört fel egy számítógépet. Dai Zovi idén csak nézőként vett részt a rendezvényen, de a küzdelem végén azonnal gratulált Millernek.
