Linux 'onverslaanbaar' tijdens hackwedstrijd

[jacobus]

Leuk verhaaltje voor linux liefhebbers.

 

Linux 'onverslaanbaar' tijdens hackwedstrijd

 

 

Zaterdag 29 maart 2008, 13:16 - Linux is het enige besturingssysteem gebleken dat als onverslagen winnaar voor de dag kwam tijdens de hackwedstrijd van de CanSecWest conferentie.

Door Martin Gijzemijter

 

Gisteren werd al bekend dat het deelnemer Charlie Miller slechts twee minuten nodig had om de MacBook Air te hacken, nadat de organisatoren van de wedstrijd de regels hadden versoepeld. Miller won daarmee 10 duizend dollar en een nieuwe laptop.

Kwetsbaarheid in Java

 

Aan het eind van de tweede dag moest ook Windows Vista eraan geloven. Shane Macaulay slaagde erin het besturingssysteem te hacken. Macaulay kennen we ook als medewinnaar van vorig jaar, maar dit jaar had hij een beetje hulp van anderen nodig.

 

Reden dat Macaulay de klus niet in zijn eentje kon klaren, was dat hij tegen een onverwachte wending aanliep. De versie van Vista die hij moest hacken, was namelijk voorzien van Service Pack 1 en daarmee voorzien van een groot aantal beveiligingsupdates. Hoewel Macaulay niets mag zeggen over de precieze aard van de bug die hij uitbuitte, liet hij wel weten dat hij een kwetsbaarheid binnen Java gebruikte om de beveiligingsmaatregelen van Microsoft te omzeilen en dat deze kwetsbaarheid ook van invloed zou zijn op OS X en Linux.

Linux niet gekraakt

 

Desalniettemin lukte het in de drie dagen die de wedstrijd duurde niemand om Linux te kraken, ook niet met de kwetsbaarheid die Macaulay omschrijft. Dit overigens tot verbazing van Terri Forslof, manager of security bij TippingPoint, de orgainsator van de wedstrijd: "Verschillende aanwezigen hebben geprobeerd om Linux te hacken, maar niemand is het gelukt, zelfs niet toen de regels werden versoepeld. Dat heeft me echt verrast".

Luiheid

 

Volgens Forslof betekent dit overigens niet dat Linux niet te hacken is: "Een groot aantal deelnemers heeft wel een aantal bugs gevonden binnen Linux, maar niemand wilde het werk verrichten dat ervoor nodig was om de code te ontwikkelen waarmee deze bugs konden worden uitgebuit". Gemakzucht lijkt wat dat betreft de overhand te hebben gehad tijdens de wedstrijd, want ook winnaar Miller gaf al aan de Mac te hebben gekozen omdat het hem het meest eenvoudige doelwit leek. [webwereld]

[Tonskidutch]

de laatste zin is toch wel de belangrijkste conclusie

en daarmee hoeven linux liefhebbers dus niet te gaan pralen met een onhackbaar systeem.

 

ik word er overigens niet warm of koud van

 

zeker niet als we weten dat overheden (niet enkel de nationale) gewoonweg toch al grote firma's >opleggen< dergelijke bugs ook in te bouwen.

 

wat gebruikt charlie miller inmiddels op zijn gewonnen laptop?

 

inderdaad gemakzucht / luiheid, want worden we niet langzaamaan allemaal een beetje moe van dat infantiel elkaar kunnen bespieden?

[jacobus]

onverslaanbaar staat natuurlijk niet voor niets tussen aanhalingstekens.

Ik ga ook niet roepen dat linux zo geweldig is, en de rest allemaal troep. Daar gaat het ook niet om.

Feit is wel dat je gratis n heel behoorlijk Os van het net kunt plukken. En mn Ubuntu is voor n normale gebruiker helemaal niet slecht.

[Tonskidutch]

wel dat is wellicht dan ook het enige voordeel

 

gratis.

 

(gechargeerde stelling)

 

maar het is wellicht een feit.

 

cheers

[theparasol]

Origineel bericht van: jacobus

maar niemand wilde het werk verrichten dat ervoor nodig was om de code te ontwikkelen waarmee deze bugs konden worden uitgebuit[webwereld]

Dat komt omdat het allemaal linux fans zijn en ze willen geen bad press veroorzaken.

Windows vista en mac hack via exploit in java. Dat is dus een hack van Java en niet van het onderliggende os.

[verkerkbr]

Origineel bericht van: theparasol

Dat komt omdat het allemaal linux fans zijn en ze willen geen bad press veroorzaken.

Wat is dit nu voor een conclusie ? Het lijkt wel de MicroSoft Fud campagne, die ook al jaren onzin verspreidt.

Het gaat om feiten en dit heeft ook weinig van doen of iets gratis is.

Iedere gebruiker van Linux zal kunnen bevestigen dat het verschijnsel virus of andere besmettingen vrijwel onbekend zijn.

Overigens volgens de ZDnet berichtgeving lag het probleem bij de Mac in een kwetsbaarheid in de Safari browser.

Groet,


Bram

[theparasol]

Origineel bericht van: verkerkbr

probleem bij de Mac in een kwetsbaarheid in de Safari browser.

Goh, vast via de java plugin route...

En ja, ik ben pro microsoft al vele lange jaren en heb op linux maar 1 ding tegen dat het veel te veel onnodig en onterecht opgehemeld wordt.

[jacobus]

Citaat:

En ja, ik ben pro microsoft al vele lange jaren en heb op linux maar 1 ding tegen dat het veel te veel onnodig en onterecht opgehemeld wordt.

 

Ieder het zijne. Maar dan wel graag feiten. En zoals MS vaak ongefundeerd wordt afgezeikt doe jij dat met linux.

Het verhaal hierboven is een feit. Ze hebben linux niet kunnen hacken. Niet omdat dat onmogelijk is, maar omdat de andere systemen eenvoudiger te hacken waren. Hoe en wat is daarbij onbelangrijk. Java maakte deel uit van alle systemen die daar stoinden, en is in de realiteit ook vaak geinstalleerd. Het gaat er helemaal niet om dat linux beter is dan Windows.

Waar het om gaat is of de gebruikers wel of niet veilig zijn.

Met name gebruikers die verder weinig verstand van computers hebben, en hun pc gewoon gebruiken, en er vanuit gaan dat dat veilig is.

 

Feitelijk zegt het dus niet zo veel, maar als linux adept toch leuk om te lezen. DSaarom heb ik het geplaatst. Het is duidelijk niet voor jou. Maar dat er mensen zijn die linux prefereren schijnt je nogal te storen.

Als het je niet bevalt moet je uit dit topic wegblijven.

 

[theparasol]

{Heb maar ff de moeite genomen om wat meer te lezen want je doet niet aan bronvermelding}

 

Het blijkt inmiddels dat de vista SP1 laptop gecompromitteerd werd tgv thirth party plugin flash van adobe, dit na versoepeling vd regels omdat niemand de zaak gehacked kreeg.

 

Lees hier meer:

 

TippingPoint Digital Vaccine Laboratories

 

Ook hier weer in de comments de gebruikelijke linux en windows advocates

[jacobus]

Citaat:

want ook winnaar Miller gaf al aan de Mac te hebben gekozen omdat het hem het meest eenvoudige doelwit leek. [webwereld]

ik vermeld altijd de bron, aangezien dat verplicht is.

 

 

 

 

[theparasol]

Goeie zaak alleen de samensteller van het artikel heeft het niet al te zorgvuldig gedaan.

 

In de diverse commentaren op de website van de organisatie geven ze al aan dat meneer Miller zijn hack al klaar had voor de mac en gewacht heeft tot de wedstrijd.

 

Heeft hij er toch mooi een laptopje aan overgehouden

[verkerkbr]

Op ZDnet is er nu ook een nederlands artikel over dit onderwerp verschenen:

 

http://www.zdnet.nl/news.cfm?id=82725&mxp=151

 

Laten we het bij voorkeur houden op de technische feiten.

 

Groet,

 

 

Bram

[lite]

Origineel bericht van: verkerkbr

Het gaat om feiten en dit heeft ook weinig van doen of iets gratis is.

Iedere gebruiker van Linux zal kunnen bevestigen dat het verschijnsel virus of andere besmettingen vrijwel onbekend zijn.

Daarom is het ook een feit dat het aantal 'besmettingen' recht evenredig is aan het aantal computers dat op een bepaald OS draait. Ooit waren er ook nauwelijks hacks en virussen voor de kwijnende Mac, totdat de iMac generatie zijn intrede deed en een kassucces bleek te zijn, het aantal exploits is op dat moment direct exponentieel toegenomen. Overigens worden er ook dagelijks zero-day exploits gevonden voor onderdelen van de Linux kernel, ons voornaamste 'geluk' is dat de Linux userbase op dit moment relatief nog steeds zo klein is dat weinig kwaadwillenden de 'moeite' (zie artikel?) willen nemen om er daadwerkelijk een aanval op te baseren. De enkeling die dat wel doet weet ook precies waar hij mee bezig is, en gebruikt het dan doorgaans voor een gerichte aanval op een bedrijf, instantie of overheid. Ik denk zelf overigens dat de stap naar het grote(re) publiek ook niet zo heel ver meer van ons verwijderd is.

En uiteraard, een systeem is altijd zo veilig als zijn zwakste schakel, in de regel blijft dat gewoon de gebruiker zelf.

[Tonskidutch]

dus TOS

zou nog wel eens het minst aangevallen systeem te kunnen zijn?

 

nogmaals of ik nu op straat in elkaar geramd wordt

of

mijn PC wordt gehacked

 

het is en blijft criminaliteit en onwettig

dus om er prat op te gaan dat er een o.s. meer of minder last van heeft is irrelevant.

 

de wedstrijd organiseren alleen al is het verder aanzetten tot acceptatie van strafdaden uitlokken.

 

als je de ontwikkeling ziet; wie wat met zijn computer en programmeren flikt is er enkel afschuw en afkeur mogelijk met betrekking tot de weldaad die de informatica te weeg zou kunnen brengen.

 

of zien jullie de wedstrijd als sportieve zelfverdediging?

dan zijn er helaas regels die de straatvechter altijd zal breken.

 

cheers

 

[lite]

Origineel bericht van: Tonskidutch

dus TOS
zou nog wel eens het minst aangevallen systeem te kunnen zijn?

nogmaals of ik nu op straat in elkaar geramd wordt
of
mijn PC wordt gehacked

het is en blijft criminaliteit en onwettig
dus om er prat op te gaan dat er een o.s. meer of minder last van heeft is irrelevant.

de wedstrijd organiseren alleen al is het verder aanzetten tot acceptatie van strafdaden uitlokken.

als je de ontwikkeling ziet; wie wat met zijn computer en programmeren flikt is er enkel afschuw en afkeur mogelijk met betrekking tot de weldaad die de informatica te weeg zou kunnen brengen.

of zien jullie de wedstrijd als sportieve zelfverdediging?
dan zijn er helaas regels die de straatvechter altijd zal breken.

cheers

voor zover ik weet zijn dit soort wedstrijden vooral bedoeld om in een 'sportieve' omgeving zoveel mogelijk gaten te vinden die anders door anonieme wietrokers in een grimmig russisch keldertje kunnen worden geëxploiteerd. de beperkingen van het initiatief zijn uiteraard duidelijk, maar alle gevonden gaten worden in ieder geval gedocumenteerd en doorgegeven aan de ontwikkelende partijen om ze direct te kunnen dichten.