Dette var premien som ble utlovet dersom noen klarte å hacke MacBooken ifølge konkurransen vi har skrevet om tidligere. Det var selskapet TippingPoint som annonserte belønningen på en konferanse. Hackerne hadde to dager på seg til oppgaven.
Da ingen klarte dette på konferansens første dag, gjorde man det lettere for hackerne ved å benytte Safari til å surfe “tvilsomme” websider. En sikkerhetsanalytiker ved navn Dino Dai Zovi var hjernen bak koden som skulle til for å hacke MacBooken. Det tok ham ni lange nattetimer å lage denne, og en konferansedeltaker fikk oversendt koden neste dag og klarte dermed å hacke MacBooken. “Shane kan få laptopen, jeg vil ha pengene,” uttalte Dai Zovi etterpå.
Dai Zovi har også tidligere påvist sikkerhetsbrister i Mac-programvare. Det vil nok ikke ta lang tid før Apple utbedrer bristen og sender ut en sikkerhetsoppdatering til Safari.
Kilde: Cnet
dr. Zzz søn, 22/04/2007 - 16:34
Da kan man altså enkelt hacke mac også, da.
Jeg får gå og kjøpe meg antivirusprogramvare...
siljedal søn, 22/04/2007 - 16:37
Synnes det er skikkelig dårlig, virker som de bare ville bevise at det var mulig å hacke OS X...
Alle systemer kan hackes, om man leger tilrette for det(som her).....
Men + til OS X for at de ikke klarte det out of the box.
Jurgis søn, 22/04/2007 - 16:52
Apple har jo heller aldri reklamert med at det er umulig å hacke osx, men samtidig føler ikke jeg meg mindre trygg ved å bruke det. Ingen skade skjedd ;)
dicky_dick_dickens søn, 22/04/2007 - 17:00
men de som e, e at de e ingen som har noen grunn til å hacke macene våre.
som du ser, så var det en person som hadde e grunn til å hacke denne macen, som fikk det til.
eg føler ikke meg noe mindre sikker nå en før, i og med at ingnen har noen grunn til å hacke maskinen min...
kolby søn, 22/04/2007 - 17:12
dr. Zzz:
Hva skal antivirus hjelpe mot dette? Skal man ta allergipiller mot herpes også?
Exploiten ligger i Java, så det er ikke sikkert at det kun gjelder Safari dette her. Grunnen til at Safari blir nevnt er fordi alle andre nettlesere er tredjepartsprogramvare, og har ikke noe å si på Macen i seg selv.
Og som fyren sa selv:
«And no, I have not been sitting on this exploit, I really did find the vulnerability and write the exploit that night. I got lucky. I have spent way more time not finding bugs many other times.»
Også verdt å få med seg:
«The hack gives user-level shell access only; root-level is still not possible.»
I tillegg ble ganske mye lagt opp til at det var mulig, ettersom ingen klarte å gjøre noe den første dagen. Men selvfølgelig, dette er ikke noe veldig alvorlig men heller ikke noe å glemme. Det er bra at folk jobber med å finne slike hull, og så holde tett om hvordan til Apple har fikset det. Det samme som ble gjort med QuickTime-exploiten.
(Til dere som går agurk her: Om dr. Zzz ble fornærmet over det jeg sa, så er det mellom han og meg, ikke dere og meg. Jeg har ikke noe imot dr. Zzz, og mente det hele med et glimt i øyet. Jeg orker bare ikke bruke et svett smilefjes hver gang bare for å pirre underbuksene deres, så om dere ikke aksepterer det, får dere kose med hverandre en annen dag. *smilefjes* )
tactus søn, 22/04/2007 - 17:33
kolby: Det er vel litt tidlig å si at feilen ligger i java, eller har du sikre kilder? Vil tro at Apple vil få mulighet til å forberede en patch før detailene blir offentligjort. :)
kolby søn, 22/04/2007 - 17:38
Leste det på en del sider, for eksempel:
It took $10,000 to break a Mac, but people break Windows machines for free every day!
Wolfgang søn, 22/04/2007 - 18:44
Jeg føler meg trygg.
tviler på at det er noen som gidder å sitte å HACKE maskinen min. Og bortsett fra det så er statistikken på min side.
Det tas fobrehold om skrive feil
tactus søn, 22/04/2007 - 20:19
Så også den siden. I kommentarfeltet leste jeg også at artikkelforfatteren går ut ifra at problemet er relatert til java eller javascript.
Thomas Ptacek April 21st, 2007 8:53 pm
Brian: lighten up. I can disclose that it’s a Java applet vulnerability. Dino said “slightly paranoid browser configuration” stops it. You can reasonably assume that turning Java off solves the problem.
Kan hende artikkelforfatteren har rett men jeg ser ingenting som er bekreftet her. Inntil videre er det ikke mer å bekymre seg over enn det det ellers pleier å være. ;-)
whildonen søn, 22/04/2007 - 20:39
Leste kommentarene på den siden men da jeg også har lest en masse kommentarer og artikler tidligere som har gått ut på å peke på hvorfor Windows er usikrere rent arkitektonisk, savner jeg å kunne lese noen forklare rent teknisk (uten å bruke altfor tekniske begreper:) hvorfor Mac OS X er like sårbart som Windows. Siden disse påstår det vi har hørt hevdet at Mac OS X kun er sikkert i følge "security by obscurity", eller som nevnt på den siten, at vi lever i en rolig forstad mens Windowsbrukere lever i en farlig storby, så kunne man jo kanskje forvente seg at man kunne få en beskrivelse av hvorfor alle OS er like usikre, med eksempler fra Linux, OSX og Windows?
Hittil har jeg forstått det dithen at en av de store svakhetene i Windows er The Registry som løper gjennom hele systemet som en korridor og til hvilken alle applikasjoner kan skrive kode, kode som kan gå helt til root, etter hva jeg har forstått. Hvis Mac OS X og Linux er like sårbart bør det vel finnes en lignende arkitektonisk svakhet i disse også?
Noe annet er jo ActiveX. Finnes det noe lignende i OS X?
Ellers har jeg sett det slik at OS X naturligvis ikke er 100 % sikret mot "innbrudd", men at det simpelthen finnes flere låser å dirke opp og dermed større sjanser for at innbruddsforsøk kan oppdages og avverges. Når man tenker på hvilke enorme berg med kode som disse systemene utgjør, er det ganske logisk å anta at det må finnes svakheter, også i OS X, men som sagt ville jeg gjerne ha sett noen påpeke på hvilken måte OS X er like sårbart teknisk sett, som Windows. Hittil har jeg ikke sett dette forklart.
Er det noen andre her som har sett slike forklaringer?
Utenom at sikkerhetshullene nå er mere plattformuavhengige da angrepene er via webben osv.
Mistahh søn, 22/04/2007 - 21:22
hehe..at noen klarer å hacke en Mac-maskin med Hjelp, gir ikke meg spesilet frykt. Heller et smil om munnen :)
segrov søn, 22/04/2007 - 21:28
..ikke hakk på en moderator:)
forøvrig hyggelig at noen klarte å komme inn på en mac. Det tok mange år, men de klarte det til slutt;)
Øyvind Segrov – official hero of mr. Tom Sommerseth
EinarJ søn, 22/04/2007 - 23:30
Er da vel ikke akkurat noe sjokk at det går ann å hacke en mac, det var da vitterlig en slik honeypot som ble tatt ned for flere år siden (mener å huske at det var en mac mini satt opp med full ssh-tilgang, og muligheten til å lage bruker på maskina via web-interface).
Den ble lett tatt i løpet av få timer.
kolby søn, 22/04/2007 - 23:51
Riktig, men da fikk de som ville prøve seg en konto på maskinen som de kunne bruke.
«The earlier contest, initiated by a Swedish Mac enthusiast, gave user-level accounts to anyone wanting one, allowing a much deeper level of access to the system than would be typical on a real Mac server.»
Mac survives new hack contest
Og da i den andre konkurransen som følge av den hvor folk fikk brukerkontoer før de begynte å hacke seg inn:
«Indeed, the Mac hadn't been successfully penetrated by the time Schroeder ended the contest on Tuesday night, after 38 hours. Schroeder said the contest shows that, while not perfect, OS X is relatively secure - or at least, is unlikely to fall over when an attacker sneezes on it.»
trydl man, 23/04/2007 - 12:06
Det er vel også verdt å merke seg at dette ikke var et innbrudd utenfra. Det var det ingen som greide. Man måtte sitte på Macen, gå til en webside og klikke på en lenke fra denne websiden.
Så - ja, det var et innbrudd på en Mac, men det var ikke et innbrudd som var styrt utenfra.
Men det var en advarsel om at man må være kritisk når man klikker på noe, også på en Mac.
Det er vel få (ingen?) som tror at det er umulig å bryte seg inn på en Mac? Men det vi (mange av oss i hvertfall) tror er at det er vesentlig vanskeligere påp en Mac enn på andre systemer. Og det er vel ingen ting i denne saken som tyder på at det ikke stemmer?
tactus man, 23/04/2007 - 13:04
@whildonen:
Det er som du sier, operativsystemene er komplekse, så det er vanskelig å si om ett OS er sikrere enn ett annet. Jeg tror programmeringsfasen har mest å si. Man kan lage stabil kode med lite sikkerhetsbrister. Men det er kostbart dersom sikker kode ikke sammenfaller med øvrige mål i ett prosjekt, eller interessen hos prosjektleder eller den enkelte programmerer for å lage god kode ikke er til stede. Når alt kommer til alt er programmering ett "godt gammeldags håndtverk" (billedlig sagt), ikke svart magi ano 1629. Dersom Mirosoft eller Apple ofte er utsatt for null-dagers utnytting, ja så ligger årsaken trolig i kildekoden eller i utviklingsprosessen (umoden kode og slikt).
Nå må det sies at jeg har nada erfaring med programmeringsprosjekter utenom det jeg lærer på skolen så dette er mest n00bish synsing ifra min side. ;)
MacMacintosh man, 23/04/2007 - 18:18
Hmm. Han fyren har alvorlige fitidsproblemer...
kolby tir, 24/04/2007 - 01:33
BREAKING: MacBook Vuln In Quicktime, Affects Win32 Apple Code
«Any Java-enabled browser is a viable-attack vector, if QuickTime is installed.»
fredarn tor, 26/04/2007 - 08:01
Det er ikke mange som klarer å hacke en mac, mens stor sett alle 'hackere' klarer å hacke seg inn på en Windows-PC.
Og her ble det jo også lagt tilrette for å hacke den, som artikkelen sier klarte ingen det før man brukte safari til å besøke tvilsomme sider....
fredarn tor, 26/04/2007 - 08:02
"Hmm. Han fyren har alvorlige fitidsproblemer..."
javell? Han tjente tross alt 60 000 kroner på 9 timer, grei timesbetaling det...