På sikkerhetskonferansen CanSecWest foregår det en årlig konkurranse med navnet Pwn2Own. I denne konkurransen får hackere og sikkerhetseksperter prøve seg på å hacke forskjellige datamaskiner og greier de det vinner de både penger og datamaskinen de hacker. I år var det knyttet stor spenning til sikkerhetseksperten Charlie Miller som i forkant hadde uttalt at han kunne hacke Macen på svært kort tid. Charlie holdt hva han lovet og 10 sekunder etter konkurransen hadde startet var maskinen hacket.
Årets konkurranse ble arrangert med to test datamaskiner, en Sony Vaio PC som kjører en beta av Windows 7 med Internet Explorer 8, Firefox og Googles nye Chrome-nettleser og en MacBook som kjører Safari og Firefox.
Charlie Miller, hadde som vår alles Ingrid Espelid Hovig, «jukset litt» på forhånd og hadde forberedt en komplett hack før konkurransen var startet. Miller trengte med andre ord kun å gjennomføre hacken som han hadde arbeidet med i lengre tid. Dette var fullt lovlig jamfør konkurransereglene, men selve hacken tok lengre tid enn 10 sekunder å forberede.
De fleste deltagerene i konkurransen benytter seg av foreløpig udokumenterte sikkerhetshull som de selv har funnet. Hadde sikkerhetshullene blitt rapportert på forhånd, ville de bli oppdatert av leverandøren av programvaren. For å kunne vinne konkurransen må du som hacker gi «rettighetene» til hacken til TippingPoints Zero Day Initiative, som vil koordinere rapportering med Apple. Når en sårbarhet er rapportert til Apple, vil Apple deretter kunne slippe en sikkerhetsoppdatering.
Windows 7 og Internet Explorer 8 også hacket
Det var ikke bare Safari og Macen som ble hacket, men også Sony Vaio PCen som kjørte Windows 7 og Internet Explorer 8 ble hacket. En sikkerhetsforsker med navn "Nils" gjennomføre et angrep mot verdens mest brukte nettleser til å ta full kontroll over en Sony Vaio-maskin med Windows 7.
Han vant en cash-prisen og fikk beholde maskinvaren. Detaljer om sikkerhetsproblemet ble gitt til TippingPoint. Flere medlemmer av Microsofts sikkerhetsteam var vitner til den vellykkede hacken. "Nils" fortsatt senere samme dag med å gjennomføre en hack til mot Mac og Safari og Windows og Firefox.
djxfade tor, 19/03/2009 - 10:08
Uten å vite hvordan hacken var utført har dette null å si for oss Mac brukere. Ut ifra ryktene jeg har hørt ble det hele utført ved hjelp av en trojaner som spør om admin tilgang. Så da er det jo ikke så fantastisk heller.
//X-Fade
svar tor, 19/03/2009 - 10:10
Disse konkuransene her er stort sett possitive da de oppdager ukjente hull og raporterer det inn i steden for å spre det til kriminelle.
Nanaki tor, 19/03/2009 - 10:30
Og ikke bare blir hull rapportert, og sikkert fikset, men det skaper også blest om et tema som får alt for lite oppmerksomhet. Datasikkerhet er kanskje ikke verdens mest sexy fagområde, men fortjener mer oppmerksomhet av oss alle.
639me tor, 19/03/2009 - 10:53
jo, det er verdens mest sexy fagområde.
nils = mr. universe
janrose tor, 19/03/2009 - 10:59
Cult of Mac bekrefter at Charlie Miller brukte 'gjør det selv-metoden' ved å plante en trojaner via en forgiftet link.
http://cultofmac.com/security-expert-hacks-a-mac-in-seconds/9686
Jaroma tor, 19/03/2009 - 12:05
Dette er klassisk naivitet hos Mac-brukere. Enkelte av oss tror visst fortsatt at de er i bestittelse av "verdens sikreste operativsystem." Har mac-brukere bedre vurderingsevne vedr. hvilke websider som kan inneholde en trojaner? Mitt beste gjett: NEI!
gorjan tor, 19/03/2009 - 12:23
Jeg synes at kommentarene om at OSX er mye sikrere fordi programmene spør om passord før installasjon er så utrolig lite gjennomtenkte. Da jeg brukte Windows opplevde jeg aldri at programmer installerte seg selv i bakgrunnen uten at jeg var informert om det og godkjente det. Det hele avhenger av vurderingsevne hos brukeren som Jaroma sier, og det er ingenting som tilsier at Macbrukere er smartere enn Windowsbrukere.
arntss tor, 19/03/2009 - 13:33
Det hele er vel grunnlagt i hvor mange trusler som finnes for Mac plattformen.
Det er ikke på langt nær så mange trojanere, virus eller hva de nå heter alle sammen... til Mac som til Windows. Ikke hvor lett det er å tråkle en trojaner inn på maskinen. Derfor er det sikrere å bruke en Mac enn Windows.
Men jo, jeg tror nok det kommer etterhvert som det blir flere brukere av Mac OS.
Nils Otto Økern... tor, 19/03/2009 - 14:09
Nils
Iglebekk tor, 19/03/2009 - 14:21
Utrolig dårlig artikkel! Det står ingen ting om hva han hadde hacket, hva han hadde fått av informasjon på forhånd eller hvordan han gjorde det. Artikkelen er jo bare vas!
svar tor, 19/03/2009 - 15:05
gorjan: Vist du aldri har opplevd programmer som installerer seg selv på windows, har du aldri hatt virus eller ikke hatt AV.
Vist man ikke bruker AV, hvordan skal man da vite om man har virus eller ikke? (med mindre de gjør mye visuelt ut av seg)
admin tor, 19/03/2009 - 15:32
@Iglebekk
Hvordan hacken er gjennomført er hemmelig inntil Apple har sluppet en fiks for feilen. Det foreligger derfor ingen informasjon om dette. Personen fikk fullstendig tilgang til maskinen. Det er konkurransens mål.
svar tor, 19/03/2009 - 17:33
admin: De er såpass whitehats ja :)
Det står det respekt av.
Jetcake fre, 20/03/2009 - 02:22
Man sier det kanskje ikke for man ikke skal la en person bryte seg inn i hardwaren, slik man eventuelt kan dille og dalle med ting slik at man kan gi ut fks. piratkopier.
oddi fre, 20/03/2009 - 10:15
Har de regnet med den tiden han har brukt på å oppdage sikkerhetshullet, lage scriptet sitt osv. Lurer på hvor mange timer han har brukt på å forberede seg på dette.
Ikke rart det går på 10 sekunder hvis han har forberedt alt på forhånd!
[b]Last.fm-Mainstream-O-Meter result[/b]
[i]omlende's top artists:[/i]
[ulist][li]1 - Tom Waits: 30% mainstream[/li][li]2 - Boards of Canada: 33% mainstream[/li][li]3 - Pixies: 64% mainstream[/li][li]4 - Massive Attack: 55% mainstream[/l
Iglebekk fre, 20/03/2009 - 15:51
@admin etter å ha lest VG sin artikkel så kom det frem at han hadde gått igjennom Safari for å få tilgang. Grunnen til at artikkelen her på Mac1 ikke forteller det burde stå. At personen også fikk fullstendig tilgang burde også stå i artikkelen, men spørsmålet er hvor mye informasjon "hackeren" hadde før han startet.
slogmo fre, 20/03/2009 - 15:51
http://www.vg.no/teknologi/artikkel.php?artid=541852
Her er en artikkel som er litt foruroligende for oss Mac'ere.
magnar søn, 22/03/2009 - 01:57
...dette er ALTSÅ ingenting å bekymre seg for ?
Er jo ikke kjekt å høre rykter om at Mac også kan hackes..
svar man, 23/03/2009 - 10:51
Også var vi i gang igjen: http://www.itavisen.no/808479/program-hacker-en-mac-paa-10-sekunder
juve fre, 26/11/2010 - 11:57
@gorjan:
"...det er ingenting som tilsier at Macbrukere er smartere enn Windowsbrukere".
Hva?! Det kan du vel ikke mene?? :-)