Linux-maskine overlever hackerkonkurrence

Først faldt MacBooken, og nu er notebooken med Vista også blevet nedlagt i dette års "PWN to Own"-hackerkonkurrencen. Kun Linux-maskinen overlevede.

Det er lykkedes en sikkerhedsanalytiker at udnytte et hul i Adobes Flash-afspiller til at hacke en notebook med Windows Vista Ultimate SP1.

Dermed er den anden maskine blevet nedlagt i dette års udgave af hackerkonkurrencen "PWN to Own," skiver amerikanske Computerworld.

Det succesfulde hackerforsøg udløser en præmie på 5.000 dollars, knap 24.000 kroner, til sikkerhedskonsulent Shane Macaulay, som det lykkedes at bryde ind laptoppen af mærket Fujitsu U810. Macaulay udnyttede et ikke-tidligere kendt zero-day exploit i Adobes Flash-afspiller.

Macaulay blev dermed den anden vinder i "PWN to Own"-konkurrencen, som kunne tage en pengepræmie og den hackede bærbare med sig hjem. Første vinder af konkurrencen var Charlie Miller, som på konkurrencens anden dag fik held til at hacke en Macbook Air ved at udnytte en svaghed i Apples Safari-browser. Miller modtog 10.000 dollars i præmie plus Macbooken.

"PWN to Own"-konkurrencen er sådan indrettet, at hackerne får flere og flere angrebsmuligheder for hver af de tre dage, konkurrencen løber over.

På førstedagen skulle hackerne forsøge at bryde ind i en af de tre bærbare, som indeholder henholdsvis Linux-distributionen Ubuntu, Windows Vista og Mac OS X, via netværket og uden brugerhandlinger på klient-siden. Det lykkedes ikke for hackerne at knække maskinerne under de forudsætninger.

På andendagen, hvor Macbooken blev hacket, var det også tilladt at simulere brugerinteraktion på klienterne, samt at udnytte svagheder i styresystemernes standard-applikationer. På konkurrencens tredje og sidste dag blev en række tredjepartsapplikationer installeret på de tilbageværende maskiner. Blandt andet Adobes Flash Player, som altså blev Vistas banemand.

Nu er konkurrencen slut, og den eneste maskine, som det ikke lykkedes hackerne at slå kløerne i, var en Sony Vaio med Ubuntu. Hvorvidt det er et tilfælde, har noget med styresystemets sikkerhed at gøre, eller blot skyldes at laptoppen er mindre eftertragtet end de øvrige bærbare, melder historien ikke noget om.

Både Miller og Macaulay er underlagt en non-disclosure aftale. Det betyder, at de ikke må fortælle i detaljer om, hvordan de hackede maskinerne, indtil sikkerhedshullerne er blevet lukket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Lean Fuglsang

Fejlen i Vista lå i Flash, så den vil højst sandsynligt også kunne findes i Linux. Men exploitet blev først brugt meget sent i konkurrencen, og der var kun et par timer tilbage på det tidspunkt. Forfatteren til exploitet har sagt at han kun er interesseret i Vista, da det det han har mest erfaring.

Hvis han havde arbejdet på Ubuntu, ville sagen sikkert have set anderledes ud. Så endnu engang er det Linux popularitet der redder det sikkerhedssammenhæng :)

  • 0
  • 0
#5 Jacob Christian Munch-Andersen

Det er da overhovedet ikke ligegyldigt, konkurrencen er i sig selv ligegyldig, det vigtige er hvor sikre systemerne rent faktisk er, og et enkelt indbrud er simpelthen for lidt data til at konkludere noget.

Umiddelbart vil jeg mene at det generelt er svært at konkludere noget om sikkerhedsfejl i en Linux version på baggrund af sikkerhedsfejl i en Windows version, systemerne er så forskellige at selvom den fejlbehæftede kode skulle være at finde i begge programmer så er det langt fra sikkert at det bliver til sikkerhedsbrist i begge tilfælde.

Noget helt andet er, selvom ideen virker ret verdensfjern når man er vant til Windows princippet med at ethvert program som køres kan gøre stort set lige som det lyster, at det ikke er nogen selvfølge at man har taget kontrollen med systemet blot fordi man har held til at afvikle en smule kode på baggrund af en sikkerhedsbrist i et program.

  • 0
  • 0
#6 Dennis Krøger

Det komme an på hvad formålet er. Man behøver ikke root/admin for at kunne udnytte et system til f.eks. spam.

  • Hvad var kriterierne for konkurrencen, skulle man have root access, eller "bare" en alm. konto?

Hvis man skulle have root, er der et stykke vej fra man har en bruger. (Med mindre det er WinXP, og den er som bekendt ikke med).

  • 0
  • 0
#9 Søren S. Nielsen

Jeg laver en standard-installation af Ubuntu 8.04, password med 8 tegn og de updates den selv foreslår. Herefter vil jeg sætte den på en standard ADSL-forbindelse, bag en standard router.

Jeg poster IP-adressen her når den er klar, jeg er selv lidt spændt på resultatet :)

  • 0
  • 0
#12 Søren S. Nielsen

83.95.212.118

Standard ADSL fra TDC

Router

PC installeret med Ubuntu 8.04 LTS og de updates den selv foreslår. Intet andet tilføjet eller fjernet.

Den første der laver en .txt fil på skrivebordet på maskinen, indeholdende kontaktinfo (navn/nick og mail) vil blive betragtet som vinder.

  • 0
  • 0
#14 Søren S. Nielsen

Det er vel et meget normal setup at folk har en router på deres ADSL?

Routeren er en helt gængs model til hjemmebrug, ikke noget vildt.

Der er heller ikke taget ekstra skridt for at beskytte denne. Jeg prøver at lave et scenario der er så realistisk som muligt.

  • 0
  • 0
#15 Dennis Krøger

Din test er bare en test af routeren, har intet med maskinen at gøre, eftersom der ikke er adgang til den.

Hvis du vil teste selve maskinen for de ubehageligheder en server kan være udsat for, må du udbyde nogle services fra den (SMB, HTTP, FTP, IMAP/POP, SMTP eller noget lignende). For at de services kan udbydes, skal der selvfølgelig være hul til dem, og de skal være sat op.

Hvis du vil teste den som den blev testet i konkurrencen, skal du åbne helt op til den. Derudover skal du selv være med, som "dum bruger" (alt efter hvilken dag i konkurrencen du vil simulere).

  • 0
  • 0
#17 Christian Nobel

Jeg tror du har misforstået opgaven.

Problemet for den typiske hjemmepc der sidder bag en firewall er såmænd ikke at den bliver forsøgt hakket, men at brugeren udviser mere eller mindre tåbelig adfærd.

Så hvis din pc sidder bag routeren, og bare er tændt og du ellers ikke bruger den, så vil den nok dø af alderdom før den får besøg.

Så hvis du skal lave en realistisk test, så skal den flyttes ud på en DMZ - først der kan du sammenligne med ovenstående konkurrence.

/Christian

  • 0
  • 0
#18 Jørgen Henningsen

Det du gør svarer til dag 1 af hackerkonkurrencen. Det tager typisk lang tid før man finder et hul, som er til at udnytte.

Alle overlevede også 1. dag. Det var først da man begyndte at simulere bruger interaction at man kunne udnytte hullerne i applicationssoftwaren.

Hvis man igen skal gennemføre en sådan konkurrence, så håber jeg man vil overveje at indføre en ekstra penge præmie for at få den sidste maskine ned med nakken. Det er for tyndt at det her bortforklares.

  • 0
  • 0
#19 Dennis Krøger

Det du gør svarer til dag 1 af hackerkonkurrencen. Det tager typisk lang tid før man finder et hul, som er til at udnytte.

Det gør han ikke engang, der var fuld adgang til maskinerne.

Hans test har skåret maskinen af Internettet, bortset fra forbindelser der bliver oprettet fra maskinen. Eftersom han bare har den stående, er den effektivt ikke tilgængelig, med mindre der er fejl i routeren.

  • 0
  • 0
Log ind eller Opret konto for at kommentere