PCDVD同討論串
--------------------------------------------------------------------------------
經過一周的緊張角逐,CanSecWest 的 PWN 2 OWN 駭機大賽圓滿落幕。
大家對2分鐘就被輕易搞定的MBA記憶猶新吧?與其形成鮮明對比的是,
另一台搭載了 Linux 的 Sony VAIO 卻如同一座堅不可破的堡壘,
一直堅持到了比賽結束。
攻破 Mac 的 Charlie Miller 其實應該算是有備而來,
不過在眾多經驗豐富的駭客面前,
Vista 也是在比賽開始兩天后才被Shane Macaulay 擊垮的。
Shane 和他的弟兄們沒料到將要面對的是加強保護的 SP1 版 Vista,
不過雖然這類比賽的具體細節不便透露,我們還是大概知道他們最後是利用了
跨平臺的 Java 漏洞才繞開了 Vista 的保護措施。
據傳最後階段其實已經有人發現了Linux OS 的漏洞,
不過「已經沒人願意花工夫編寫贏得比賽所須的程式碼」了。
---------------------------------------------------------------
來源
http://chinese.engadget.com/2008/03...-own-unscathed/
---------------------------------------------------------------
另外的補充
PWN 2 OWN - Linux 贏了
不知道你有沒有聽過CanSecWest?那是一個資通安全研討會。不是像教育部喜歡玩那種無聊的資通安全遊戲,而是真的討論,會影響我們電腦、資料、網路使用的安全問題的研討會。那邊也有一個比賽,叫PWN 2 OWN。(不知道什麼是PWN?)這次有三台電腦:一台Macbook Air,跑OS X 10.5.2,一台Lifebook,裝Windows Vista SP1,跟一台Vaio,裝Linux - Ubuntu Gutsy。你可以拿到那台電腦的帳號,然後目的是屈機,得到可以完全控制這台電腦的權限。
第一天只可以透過網路連接。如果當天有人成功,可以得到兩萬美金,也可以把那台筆電帶回家。(所以PWN2OWN...)不過,沒有人成功。第二天可以坐在那台電腦前,使用它的軟體,可以上網到“特別”的網站等。獎金是一萬美金,電腦一樣可以帶走。那天Macbook Air失敗了。(Safari的問題)
第三天也可以自己安裝軟體,那時候Vista因為Adobe Flash的問題被入侵。有人得到5000塊美金跟一台Fujitsu的筆電。唯一沒有讓人屈機的系統是Ubuntu Gutsy的電腦。Hmm, 你需不需要一個比較安全、穩定、不會限制你、很方便使用的作業系統?
(我有沒有說它是免費的?)Well, get it!
--------------------------------------------------------------------------
來源
http://dl7und.blogspot.com/2008/03/pwn-2-own-linux.html
-----------------------------------------------------
前段時間的新聞
全球黑客頂級賽事"PWN 2 OWN" 已在溫哥華拉開帷幕
2008-03-28 08:34 新浪科技
據國外媒體報道,全球黑客領域一項頂級賽事在加拿大溫哥華拉開了帷幕,該比賽由CanSecWest安全會議進行組織。主辦方提供了三款運行不同操作系統的筆記本電腦,分别是Linux、Mac OS X和Vista,供參賽的各路黑客實施攻擊。
根據主辦方的要求,黑客在比賽中隻能使用最新的、别人尚未發現的“零日”攻擊代碼。獲勝者将獲得2萬美金的資金,同時被攻破的筆記本電腦也歸其所有。大賽組織者将此次賽事稱之爲“PWN 2 OWN”,在黑客字典裏是控制計算機的意思。
2萬美金起來也不是一個小數目,然而參賽者表示,高質量電腦攻擊代碼的價碼并不低于這一數目,除了iDefense和Tipping Point等安全廠商之外,美國政府安全部門也願意出高價購買這些代碼。
安全機構Independent Security Evaluators的研究人員查利·米勒(Charlie Miller)表示,他參賽的原因并不是爲了資金,而是爲了體驗第一個入侵上述系統而帶來的刺激。
“對我來說,這相當于安全研究領域的一次超級聯賽。
”米勒表示,“我喜歡競争帶來的刺激。
”米勒去年作爲首位攻破iPhone手機的黑客而在業界出名。
周三晚些時候,三部筆記本電腦系統仍完好無損。這一情況也在組織者的意料之中,
因爲大賽第一天隻允許參賽者實施基于網絡的攻擊手段,
并且不能與用戶進行互動交流,這種類型的攻擊目前還非常少見。
米勒稱,他計劃周四将目标鎖定在MacBook Air筆記本,
進入第二天比賽規則也會有相應調整,允許選手實施要求用戶進行某種操作的攻擊行爲,
比如訪問嵌入惡意代碼的網站或打開郵件等。
不過随着時間的推移,獎金也在不斷縮水,每過一天獎金會減少一半。
去年的黑客大賽在業界引起了巨大反響,不過當時隻有一部筆記供選手實施攻擊,即MacBook Pro,獲勝者是安全研究人員迪諾·佐威(Dino Dai Zovi),
而他本人并未到現場,隻是委托一位朋友運行了自己編寫的攻擊代碼。
佐威今年親臨現場參加比賽,成了此次大賽的奪冠熱門。(凱旋)
---------------------
來源
http://www.gcpnews.com/zh-tw/articl...1040_21543.html
稍前~新聞--2分鐘攻破MBA
--------------------------------------------------------------------------------
PWN 2 OWN大賽結果發表:2分鐘攻破MBA
去年,Dino Dai Zovi花了9小時來攻破MBP,
今年CanSecWest上的PWN 2 OWN大賽又爆猛料,第二天的比賽開賽還沒多久,
著名的iPhone駭客Charlie Miller讓我們見識到了MBA是多麼的弱不禁風
(原文是who its father really was,冏rz)。
Mr. Miller僅僅是訪問了一個包含他編寫的代碼的網站,
"立刻就取得了這台Macbook的控制權,
周圍20多個旁觀者發出了陣陣勝利的呼聲"。
順帶一提,參賽者只允許使用系統預裝的軟體,所以很明顯,
這事兒Safari脫不了干係。
不過他也得遵循遊戲規則,在TippingPoint通報夾不死(Jobs)之前,
Mr. Miller不得洩露該漏洞,不過10000美元+一台新筆電"封口費"在手,
他也沒什麼好抱怨的啦。
裡頭提到 OSX是第二天就被攻陷.....比VISTA SP1還早
不知道大家感想如何呢?
