25k $ - nich €, PWN a Mac & win

Bier

Pomme au Mors
Registriert
24.08.07
Beiträge
867
Moin!

Jepp, gibt 25 000$, bar auf Tatze, wenn man einen gescheit eingerichteten VISTA, Ubuntu oder MacOS X Leopard Computer erfolgreich pentestet, und eine Schwachstelle findet. Nicht, dass sich Exploits oder generelle Lücken anders nicht besser zu Geld machen ließen, aber die PR Kampagne findet ihren Lauf und bewirbt "die Firma" natürlich gleich mit, die ich frecherweise nicht mitnenne, um das Ganze noch sinnloser zu machen.

Dubbed the "PWN2OWN" competition, the contest will give security professionals the opportunity to hack one of three systems: up-to-date versions of Microsoft's Windows Vista, Apple's Mac OS X, and Ubuntu Linux. To win the contest, a person must run code on the laptop using a previously unknown vulnerability in the operating system or a major application, such as a Web browser, a plug-in browser program, an instant messaging client, or an e-mail reader.

Sicherlich dürfte wenig Leuten entgangen sein, dass der PR Gag letztes Jahr genauso uninteressant war, wie dieses Jahr: guckemal. Dennoch, es lohnt sich schließlich
0days zu benutzen, nur nicht für so was. Nichtsdestotrotz: Anwender starren auf den Contest und erhoffen sich, ihre "sicheren Systeme", wie man ihnen erklärt, nicht kompromittiert zu sehen. Lediglich der letzte Funken Hoffnung, an den sich der Unwissende klammert ist, dass bitte VISTA zuerst fallen möge, was leider recht unwahrscheinlich ist, da irgendwie Sponsoring betrieben wird. Wer also mag, darf sich seine Mateflaschen schon bereit stellen, das Hirnfutter bunkern, den Kühlschrank vollkaufen, und den Hirnschmalz nutzen, um da zu gewinnen, und Vorarbeit zu leisten, denn die Bedingen sind hart: 30 Minuten Zeit, vor Ort.

Tipps und Wetten werden angenommen.
The notebook computers being used in the competition include a Sony VAIO VGN-TZ37CN running Ubuntu 7.10 "Gutsy Gibbon," a Fujitsu U810 running Windows Vista Ultimate Service Pack 1, and an Apple MacBook Air running Mac OS X 10.5.2.

Wer mag mittippen, wer zuerst fällt:

1. Linux
2. Windows
3. MacOS

Und um das Ganze spaßig zu gestalten, tippe ich auf MacOS, verweise noch kurz auf die Newsquelle und erwarte weitere Tipps.
 

O-bake

Aargauer Weinapfel
Registriert
21.01.07
Beiträge
747
To win the contest, a person must run code on the laptop using a previously unknown vulnerability in the operating system or a major application, such as a Web browser, a plug-in browser program, an instant messaging client, or an e-mail reader
Hä? versteh ich das richtig?
Wenn ein beliebiger Instant-Messaging Client auf einem der drei Systeme eine Sicherheitslücke aufreisst und der Hacker sie ausnutzt, hat er gewonnen?
Darf der Hacker den IM-Client auch vorher selber programmiert haben? Falls nein, welche Programme sind zugelassen? Welche dürfen zur Kompromittierung genutzt werden?
 

Bier

Pomme au Mors
Registriert
24.08.07
Beiträge
867
Falsche Frage... das ist ne PR Sache. ;)

Du glaubst doch nicht ernsthaft, dass "ein Profi" extra in die Gegend fährt, nur um son popeligen Laptop kurz aufzumachen. Das geht in ~5 Minuten, wenn nen Exploit da ist... wenn nicht, dann dauert es garantiert länger als 30, bis man sich da was gefuzzt hat, oder die Services protokollbasiert ausnutzt. IM = Protokoll.

Als Sicherheits-Ingenieur verdient man rund 60 € die Stunde ... angenommen 15h Anfahrt, 48h Uebernachtung (-2d Urlaub) und 5h Vorbereitung = ca. 3900 € Investition.
Wenn ich bei einem Monatsgehalt von ca, 8400 Euro 2 Tage Urlaub für die Differenz von ca. 15k Euro in den Sand schieben soll, und das Exploit, das ich unter Garantie für 10-15k Euro verkaufen koente, dann auch noch aus der Hand geben soll... sehe ich da keinen Grund das zu machen. Nicht, dass _ich_ das verdiene... ist nur nen Beisiel. *hust, schön wärs*

Es steht
Vista 2
MacOS 2
Linux (Ubuntu) 0
 

zeno

Lane's Prinz Albert
Registriert
05.11.05
Beiträge
4.894
Für die Leute die zu Faul sind den Beitrag zu lesen sollte man erwähnen das weder OS X, Linux noch Windows ohne Nutzerinteraktion erfolgreich angegriffen werden konnten.
 

Bier

Pomme au Mors
Registriert
24.08.07
Beiträge
867
http://www.securityfocus.com/brief/711

Ich hatte Recht!
<- Gewinner

compromised the Apple MacBook Air in less than a minute.

Ich brauch 15, aber mit weitaus weniger Interaction. Standardconfig, Standardvorgehen. Das könnte man sogar in nen Bot implementieren.

- http://dvlabs.tippingpoint.com/blog/. tsts... Schnell aufgesteigen, schnell gefallen. Broken by Design with Design - the story of Apple

The bug is still very serious, however, resembling the vulnerabilities currently used by many fraudsters to infect the systems of unwary victims with bot software and root kits. The vulnerability requires the same amount of interaction as the flaw in QuickTime's handling of Java that allowed researchers Shane Macaulay and Dino Dai Zovi to win the competition last year. They also got to take home $10,000 and a MacBook.

QuickTime, Java und Safari... das kribbelt. Mal schauen wie oft das ausgenutzt wird. Mir schwant Böses bei der Web 2.0 Fokussiertheit der Nutzer.
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Für die Leute die zu Faul sind den Beitrag zu lesen sollte man erwähnen das weder OS X, Linux noch Windows ohne Nutzerinteraktion erfolgreich angegriffen werden konnten.

Das hat auch keiner versucht. Am ersten Tag trat niemand an dafür.