Anmelden

gullinews

Charles Miller hat den ersten "offiziellen" Hack auf dem neuen MacBook Air durchgeführt. Dieses war Teil der Sicherheitskonferenz CanSecWest in Vancouver. Es wurde eigens ein Wettbewerb dafür Veranstaltet. Nach nur zwei Minuten hat Miller einen Bug im Safari-Browser genutzt, um Zugriff auf fremde Dateien zu erhalten. Er durfte mit 10.000 Dollar Preisgeld und einem nagelneuen Laptop nach Hause gehen.

Hintergrund der Hacking-Veranstaltung auf der CanSecWest ist die Sicherheit auf den neu erschienen Laptops zu gewährleisten. Mit dabei waren ein Sony Vaio, ein Fujitsu U810 und ein an Apple MacBook Air. Alle ausgestattet mit der Standard-Software, die man normalerweise auch beim Kauf erhält.
Am ersten Tag des Wettbewerbs war die Aufgabe die Computer über das Netzwerk zu hacken, was aber keinem der Teilnehmer gelungen ist. Am zweiten Tag wurden die Hacker direkt an die Computer selbst gelassen, beziehungsweise mußten Mitglieder des Organisations-Teams anweisen, bestimmte Webseiten zu besuchen oder Mails zu öffnen. Keine Tricks oder doppelte Böden, sondern schlicht die top-aktuelle Software und ein "Standard-User". Tag zwei der Hack-Veranstaltung also bezog sich auf Software-Komponenten, die oft große Risiken für die Sicherheit beinhalten, namentlich Webbrowser und Mailprogramm.

weiterlesen

Der_Stein

Uff, wie geil

10.000$ und ein MacBook sind schon nich schlecht für nur 2 Minuten Arbeit

Nivek

Nice

!

Im Text unterm Titel steht "10.000 Euro", obwohl es 10.000 Dollar sein sollten

.

Poldi 89

Sehr nice!

2k4u

Hat er als Laptop ein MacBook Air bekommen? Dann würde ich mich nämlich nur über die 10000$ freuen

toredo

Zitat:

Zitat von 2k4u

Hat er als Laptop ein MacBook Air bekommen? Dann würde ich mich nämlich nur über die 10000$ freuen

Ich erinner mich dran, wenn du mal zufälligerweise ein MacBook Air gewinnst/findest oder was auch immer, ich nehms dir gerne ab

mfG toredo

020200

Zitat:

Zitat von Nivek

Nice

!

Im Text unterm Titel steht "10.000 Euro", obwohl es 10.000 Dollar sein sollten

.

Heisst natürlich Dollar. Danke für den Hinweis, ist korrigiert.

rundeck

ich les die ganze zeit nur macbook air,
letztendlich hat er aber wohl mac os x gehackt und da ist ja recht irrelevant auf welchr hardware das läuft.

ionee

Nicht ganz richtig... angeblich hat er eine Lücke in Safari ausgenutzt um den Inhalt einer Datei auf der Festplatte auszulesen. Ob die lücke auch in Safari für Win vorhanden ist soll nicht bekannt sein.

HassKappenMann

Zitat:

Zitat von ionee

Nicht ganz richtig... angeblich hat er eine Lücke in Safari ausgenutzt um den Inhalt einer Datei auf der Festplatte auszulesen. Ob die lücke auch in Safari für Win vorhanden ist soll nicht bekannt sein.

Hier ging es nicht drum, ob für mac oder pc sondern um die Version des Betriebssystems. Und für Das MacBookAir gibts kein eigenes Betriebssystem, soweit ich weis.

X Bullet X

hehe da sag ich mal gratulation zu 10.000 $

was auch geil wär wenn es ein video gibt wo sie hinter dem hacker stehen

... und dann die gesichter der Apple leuten xD

LivingDeadDoll

Mit 10 000 Ocken kann man tolle Sachen machen

Kommt davon wenn alles immer bunter, schneller, besser sein muss. Je komplexer das System, desdo mehr Lücken kann es haben

VNPeter

Zitat:

Zitat von LivingDeadDoll

Kommt davon wenn alles immer bunter, schneller, besser sein mus

Bunter? Hast du Mac Os X schonmal benutzt? Außer dem neuen Hintergrund kann ich auf meinem Desktop oder im Menü nix buntes entdecken. Für des das Leopard schon so lange draußen ist, kann man die 2 min ja nicht als Maßstab nehmen. Kann ja sein das er das zuhause "vorgefertigt" hat.

Das MacbookAir und die 10.000$ würde ich auch nehmen

rundeck

Zitat:

Zitat von VNPeter

Kann ja sein das er das zuhause "vorgefertigt" hat.

muss er ja,
da er nicht ans macbook durfte und lediglich ein exploit über eine website genutzt wurde.

muss aber ein merkwürdiger exploit sein... 2 minuten... mmh
selbst wenn das ding ein overflow nutzt um eine remote-shell aufzubauen sind doch 2 minuten recht lang oder musste er dann die textdatei per hand auf dem system suchen?

SeriousK

hmm nen exploit auszunutzen wenn man ihn kennt geht locker in 2 min

schannall

mich wunderts net bei der gruetze die apple da manchmal einbaut...
btw: vaios gibts imo nicht mit linux zu kaufen, oder doch?

Kontrolltroll

Viel schlimmer wiegt, dass Safari 3 in Vista genau das Selbe prkatikabel machen könnte; und der kommt mit Quicktime.

Hirnblaehung

Der Ganze scheiss ist net sicher -.-

es gibt überall ne Lücke -.-

vorallem bei dritt programmen ....

mFg

sTyle

Ich glaube kaum dass er den Exploit in 2 Minuten entdecken konnte und dann ausnutzte, da hat er sicher länger im Vorfeld danach gesucht.. etwas irreführend zu sagen er hätte das ding in 2 minuten gehackt .. finde ich

DukeMan999

Zitat:

Zitat von sTyle

Ich glaube kaum dass er den Exploit in 2 Minuten entdecken konnte und dann ausnutzte, da hat er sicher länger im Vorfeld danach gesucht.. etwas irreführend zu sagen er hätte das ding in 2 minuten gehackt .. finde ich

Warum? Wenner doch den sploit selbst gefunden hatt und ihn net publiziert hatt? Dann wird die lücke auchnet geschlossen...

_al

Zitat:

Mit dabei waren ein Sony Vaio, ein Fujitsu U810

Mich würde mal interessieren was mit den anderen Geräten passiert ist?
Windows hallo?

Und überhaupt wurde die Lücke geschlossen?

MfG

tuennes

die Lücke wird nicht genauer genannt bis Apple einen Patch dazu rausgebracht hat .

Kontrolltroll

Doch, die wurde veröffentlicht und ist denen bekannt, die was damit anfangen können. Es muss nicht jeder Hansfranz auf die Nase gebunden bekommen, wie das geht, obgleich man es sofort findet, wenn man sucht, sogar im Web.

Die Regeln waren btw:

Zitat:

Zitat von CanSecWest

Rules

1. Attacks remain confidential until prize is claimed

Players will connect to the targets with a crossover cable and we will
not record the network traffic or log anything other than what is done
by default.

Successful exploits can be delivered directly to Tipping Point after the
we verify that you control the target.

In the event that internet connectivity is required (eg. IM clients)
we will put the target online behind a firewall. We won't sniff at the
firewall, but we can make no guarentees for upstream networks. (so be
careful what you send over the Internet!)

2. No wireless attacks in the conference area

Players with intent to use wireless attacks must inform us in advance.
We will relocate to a secluded, undisclosed location where there won't
be dozens of people watching the traffic.

3. One attacker per target at a time

As is obvious from rule #1 and rule #2, one player gets exclusive access
to any target at one time.

4. Players take turns, no hogging the targets

Players are limited to 30 minutes per attempt. We will mercilessly
disconnect your cable at the end of each attack slot. Be fast!
We will reboot the targets before each session begins.

5. First come, first served access to targets.

Players get in line for their turns and may take an unlimited number
of turns. If a player runs out of time and no one else is waiting for
access to the target he may continue for another turn. Players may not
have more than 1 turn in any 30 minute period. (That means we won't
reboot a target any time you feel like it)

6. Remote, pre-authentication attacks are required to win

Players may not physically touch the targets or look at the target's
display. Players are required to demonstrate to our satisfaction that
arbitrary code runs on the target.

7. Attackers control the default route for the target.

Players may become the target's default gateway in order to perform man
in the middle attacks.

8. Contest officials visit attacker web servers

Players may direct us to visit a web server running on the player's
computer. Players may specify which browser to use.

Keep the URL reasonable. We're not going to type weird addresses in.
Once we hit enter that's it. We will not click on any links.

9. Contest officials read email from attackers

Autopreview (Preview panes, etc) is enabled on mail readers, but we will
not click on links contained therein or open attachments.

10. Contest officials will add attackers on IM and read their messages.

They will not click on links or open file transfers.

11. Client Application list:

The fully patched client-side applications that qualify for a prize includes:

. Adobe PDF
. Adobe Flash
. Microsoft Silverlight
. Microsoft Internet Explorer
. Microsoft Outlook/Outlook Express
. Firefox
. Safari
. iChat
. Apple Mail
. Skype
. Adium
. Pigdin
. Kmail
. Thunderbird
. AOL, Yahoo!, and MSN official IM clients
. Java/JRE

Other software may be added to this list at our discretion of if we
deem it represents a significant attack target on normal internet
clients at large.

12. Winning exploits must be true 0day.

They may not have already been submitted to the affected vendor or
to third parties.

13. Each machine will be secured to common industry best practices:

We'll get Andrea Barisani from our Hardening Linux Dojo (which still
has seats available

to look over the Ubuntu machine, and the
Microsoft/iSec/Core DTF folks to secure the Windows box, and Josh
Ryder our local Mac zealot to look at the OSX wafer.

Special Thanks:

-LTC Ron Dodge, USMA, for agreeing to be in the hot seat as the judge.
-The folks at 3com Tipping Point ZDI for helping out.
-The folks at White Wolf Security for assistance in the design, prep, and
running the challenge.

Handyfreak

hey,
dieser Charles Miller war doch mal bei der NSA oder ?

Der_Stein Ersatzpfosten Registrierungsdatum: May 2007 Beiträge: 84	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Uff, wie geil 10.000$ und ein MacBook sind schon nich schlecht für nur 2 Minuten Arbeit
28. 03. 2008, 14:05	#2

Nivek † Registrierungsdatum: Jul 2005 Beiträge: 1.181	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Nice ! Im Text unterm Titel steht "10.000 Euro", obwohl es 10.000 Dollar sein sollten .
28. 03. 2008, 14:20	#3

Poldi 89 Mitglied Registrierungsdatum: Nov 2006 Beiträge: 63	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Sehr nice!
28. 03. 2008, 14:22	#4

2k4u p2p ::]design[:: Registrierungsdatum: Feb 2008 Beiträge: 244	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Hat er als Laptop ein MacBook Air bekommen? Dann würde ich mich nämlich nur über die 10000$ freuen
28. 03. 2008, 14:24	#5

rundeck Demokrator Registrierungsdatum: Nov 2006 Beiträge: 472	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab ich les die ganze zeit nur macbook air, letztendlich hat er aber wohl mac os x gehackt und da ist ja recht irrelevant auf welchr hardware das läuft.
28. 03. 2008, 14:54	#8

ionee Mitglied Registrierungsdatum: Jan 2006 Beiträge: 7	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Nicht ganz richtig... angeblich hat er eine Lücke in Safari ausgenutzt um den Inhalt einer Datei auf der Festplatte auszulesen. Ob die lücke auch in Safari für Win vorhanden ist soll nicht bekannt sein.
28. 03. 2008, 15:30	#9

X Bullet X ♫ Gullianer ♫ Registrierungsdatum: Jul 2006 Beiträge: 1.074	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab hehe da sag ich mal gratulation zu 10.000 $ was auch geil wär wenn es ein video gibt wo sie hinter dem hacker stehen ... und dann die gesichter der Apple leuten xD
28. 03. 2008, 15:38	#11

LivingDeadDoll Mitglied Registrierungsdatum: Mar 2008 Beiträge: 24	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Mit 10 000 Ocken kann man tolle Sachen machen Kommt davon wenn alles immer bunter, schneller, besser sein muss. Je komplexer das System, desdo mehr Lücken kann es haben
28. 03. 2008, 15:45	#12

sativa-bob Beiträge: n/a	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab muss aber ein merkwürdiger exploit sein... 2 minuten... mmh selbst wenn das ding ein overflow nutzt um eine remote-shell aufzubauen sind doch 2 minuten recht lang oder musste er dann die textdatei per hand auf dem system suchen?
28. 03. 2008, 17:30	#15

SeriousK If looks could kill Registrierungsdatum: Oct 2004 Ort: <^DA^> Beiträge: 3.084	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab hmm nen exploit auszunutzen wenn man ihn kennt geht locker in 2 min
28. 03. 2008, 17:36	#16

schannall Mitglied Registrierungsdatum: Mar 2008 Beiträge: 3	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab mich wunderts net bei der gruetze die apple da manchmal einbaut... btw: vaios gibts imo nicht mit linux zu kaufen, oder doch?
28. 03. 2008, 17:42	#17

Kontrolltroll Registrierungsdatum: Aug 2007 Beiträge: 832	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Viel schlimmer wiegt, dass Safari 3 in Vista genau das Selbe prkatikabel machen könnte; und der kommt mit Quicktime.
28. 03. 2008, 18:03	#18

Hirnblaehung Mitglied Registrierungsdatum: Feb 2008 Beiträge: 179	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Der Ganze scheiss ist net sicher -.- es gibt überall ne Lücke -.- vorallem bei dritt programmen .... mFg
28. 03. 2008, 18:20	#19

sTyle Mitglied Registrierungsdatum: Sep 2004 Beiträge: 615	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab Ich glaube kaum dass er den Exploit in 2 Minuten entdecken konnte und dann ausnutzte, da hat er sicher länger im Vorfeld danach gesucht.. etwas irreführend zu sagen er hätte das ding in 2 minuten gehackt .. finde ich
28. 03. 2008, 20:29	#20

tuennes Aktienfrühverkäufer Registrierungsdatum: Sep 2006 Beiträge: 668	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab die Lücke wird nicht genauer genannt bis Apple einen Patch dazu rausgebracht hat .
28. 03. 2008, 22:18	#23

Handyfreak Mitglied Registrierungsdatum: Dec 2005 Beiträge: 50	Re: MacBook Air: Hack in zwei Minuten, Hacker sahnt Laptop und 10.000 Dollar ab hey, dieser Charles Miller war doch mal bei der NSA oder ?
29. 03. 2008, 15:47	#25

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken

Anmelden

ANZEIGE