[HaBo]

gmw

Anzeige

Beim diesjährigen pwn2own Contest blieb Linux ungeknackt! Obwohl einige Sicherheitslücken entdeckt wurden befanden die Teilnehmer, dass der Aufwand sie auszunutzen im Rahmen der Veranstaltung unverhältnismäßig hoch wäre.

Erstmal weiterführende Links:
http://cansecwest.com/ --> Security Conference auf der jährliche pwn 2 own stattfindet
http://www.engadget.com/2008/03/29/l...own-unscathed/ --> Englische Berichterstattung

Hier nun eine kurze Zusammenfassung von mir selbst:

Beim pwn 2 own contest ging es darum, wer als schnellstes ein spezfisches System unter seine Kontrolle bringen konnte. Dabei konnten die Teilnehmer selbst aussuchen ob sie gegen ein MacBookAir, Windows Vista oder Ubuntu 7.10 antreteten wollten.

Am Ersten Tag waren die Teilnehmer lediglich im selben Netzwerk wie die Ziele, Zugriff war also höchstens remote möglich. Alle Ziele waren auf dem aktuellsten Patchlevel und nur keine zusätzlichen Programme waren nach der Installation aufgespielt worden.

Keines der Systeme konnte am ersten Tag übernommen werden.

Ab Tag 2 konnten die Angreifer dann einfache Befehle an Benutzer an den Zielrechnern schicken, wie zB einen Link zu öffnen. Die Anweisungen mussten so einfach gestaltet sein, dass jeder DAU sie ausführen könnte. Die Installation zusätzlicher Programme war nach wie vor verboten. Ab diesem Moment wurde das MacBookAir innerhalb von 2 Minuten unter die vollständige Kontrolle des Angreifers gebracht, offenbar genügte es den Benutzer aufzufordern eine vorbereitete Seite zu öffnen. Die genaue Lücke ist nicht bekannt, es steht jedoch außer Zweifel dass der Fehler an Safari liegen muss (ob dieser dadurch auch auf zB Windows verwertbar ist, ist unbekannt).

Einige Stunden Später musste sich dann auch Vista beugen. Dort wurde offenbar ein Fehler in Java ausgenutzt um die Windows Security auszuschalten.

Ubuntu 7.10 konnte nicht übernommen werden. Zwar wurden einige Sicherheitslücken gefunden die potentiell zu diesem Ziel geführt hätten, jedoch im Rahmen der Veranstaltung offenbar nicht durchführbar waren, da es zu aufwändig gewesen wäre, den benötigten Code zu schreiben.

Alles in allem ne geile Sache, das gönn ich den Mac Fanbois die sonst immer die Windows-Benutzer auslachen und verhöhnen. Eat that! :D

Banur

Hab ich vorhin auch gelesen, dürfte für Mac 'ne schöne Blamage sein.
Hierzu hab ich auch noch diesen Artikel gefunden: Informatiker entzaubern Apple - Microsoft flickt fixer.

sw33tlull4by

Gabs schon vor ein paar Tagen auf gulli.com
link
mfg

sw33t

//edit
Beruhigend zu erfahren das Linux so sicher ist, und das bei Ubuntu.
Wenn ich mir vorstelle das es da noch andere Distros gibt welche weit aus mehr
paranoider sind(Open BSD, etc).
wenn man mal davon absieht da 99%aller Fehler vor dem Monitor sitzen, komme ich mir mit Fedora vor wie in Fort Knox *G*

bitmuncher

OpenBSD ist keine Linux-Distro, sondern wie der Name schon sagt ein BSD.

__________________

Lesco

Welch gelungene Übersetzung!
Muss man denn, gerade im IT-Bereich, wirklich _jedes_ englische Wort zu übersetzen versuchen?

sw33tlull4by

@Bitmuncher
Danke fuer die Verbesserung.
BSD stammt von UNIX ab genau wie Linux, ist also so gesehen der Bruder.
Bringe das jedesmal durcheinander.
mfg

sw33t

BigDevil

Soweit ich weiß hat MacOS auch was mit Unix zu tun. Also ist das auch ein Bruder.

beavisbee

Nein, da liegst du schon zum zweiten mal falsch...

Linux ist kein UNIX-Derivat, sondern nur ein UNIX-ähnliches System.
Genau genommen ist Linux nur der Betriebssystem-Kern, um welchen ein Grundsystem von Programmen aus dem GNU-Projekt gebaut ist (GNU ist übrigens ein Acronym und steht für "GNU IS NOT UNIX") und je nach Distri jede Menge andere OpenSource-Software.


zum Thema BSD-History hab ich das hier auf die Schnelle gefunden: https://www.bsdwiki.de/Geschichte
und zum Thema GNU/Linux kann ich dir das Buch "Die Software-Rebellen" von Glyn Moody empfehlen.
Dort geht's los mit Richard Stalman's GNU-Projekt, Linus Torwalds "Auseinandersetzungen" mit Andrew Tanenbaum bezüglich Minix, über die Entwicklung von Linux, dem OpenSource-Phänom, Browser-Kriege, etc.

weau

Oh hä , die armen Mac Fanatiker :]

CDW

MacOS Abstammung (laut wiki)
\ BSD \ FreeBSD \ Darwin
Man erkennt doch sofort, dass FreeBSD auch nicht viel taugten sollte und andere BSDs wohl ebenso.

Ubuntu stammt von Debian ab, d.h dass nicht nicht nur xubuntu,kubuntu, edubuntu sicher sind, sondern wahrscheinlich auch Xandros,Knoppix,Linspire, Morphix und DSL.
Hauptsache Linux - die Unterschiede sind eher gering (hauptsächlich der Fenstermanager: KDE,Gnome, IceWM etc und der Packetmanager). Obwohl man doch vielleicht bei anderen (nicht debian basierenden) Distris erstmal schauen müsste. Oder darf man das gar nicht so verallgemeinern? (und was würde der Test in diesem Fall (zumindest was Linux angeht) aussagen? )

PS:
Und Ubuntu ist sowieso sowohl vom Aufbau her wie von der Philosophie fast wie OpenBSD - nur dass die 3D Beschleunigung der Grafikkarte sowie die WLAN Karten viel besser unterstützt werden

PPS:

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

bitmuncher

Stimmt so nicht ganz. Im Gegensatz zu OpenBSD findet man nämlich auch Nicht-OSS in den Repositories. Genau deswegen wird ja diverse Hardware besser unterstützt.

Im übrigen gönne ich es den ganzen "Mac-ist-ja-so-toll"-Fanatikern.

__________________

b4ck

intressant wäre zu wissen wieviele leute an den einzelnen stücken gearbeitet haben.

ich glaube das jede wusste das systeme die mehr und mehr an marktanteil gewinnen mehr und mehr gefährdet sind.
ich fühlte mich damals auf meinen xp sicher (und hatte nie probleme) fühle mich jetzt auf meinem mac os x sicher und werde mich weiter sicher fühle (bis mal was passiert^^) weil ich denke das die größten fehler IMMER vorm bildschirm gemacht werden, und jemand der wild email anhäge öffnet oder links zu nicht vertrauenswürdigen seiten folgt dem kann sowieso nicht geholfen werden...

CDW

@bitmuncher: das war schon provokativ/ironisch gemeint (gerade was die ganzen propiäteren WLAN /Grafikkartentreiber angeht oder auch Rückschlüsse auf einzelne Distris) .
Windows/Mac sind ja mehr oder weniger einheitlich, wobei es hier wiederum einiges von den Vorlieben des Users abhängt (die Lücken waren schließlich in der Zusatzsoftware) - aber gerade bei Linux wollte ich darauf anspielen, dass es sehr viele Distis gibt, die durchaus unterschiedliche Konfigurationen und Kenntnisse zum "Sicherkonfigurieren" erfordern.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

KlausSchiefer

Grr.
BSD IST ein direkter UNIXableger der BSD Linie.
Linux ist ein UNIX Abklatsch der SystemV UNIXartigen Linie

Die beiden haben konzeptionell soviel miteinander zu tun wie Islamisten und Kiffer- nix.
Und sorry, wenn auch das Ironie war


Aber mal OT:

Immer wenn Linux mal mit "guten" Nachrichten aus der Sicherheitsbranche auffällt wird immer
ein solches Geschrei gemacht (nein, nicht dieser Thread, sondern allgemein ).
Beim Gegenteil heissts dann nur "jaaa, Linux ist aber nur der Kern blablabla".

Ziemliche Begeisterung jedenfalls für eine halbherzige OpenSource Politik, käuflichen
Entwicklern und die langsame Assimiliereung durch die global Player der Hardewarehersteller.

Nun haut mich

beavisbee

[OT]*KlausSchiefer-schlag*[/OT]
( sorry für OffTopic, aber das musste ma sein )