PWN to OWN Contest. Vince Linux! Tiè!

[phobos3576]

E' terminata l'edizione 2008 del PWN to OWN contest; si tratta di una gara indetta dalla DVLabs, una società canadese esperta in sicurezza informatica.
La gara consiste nel mettere a disposizione dei concorrenti (tutti hackers esperti) tre laptop sui quali si trovano installati MacOSX, Windows Vista e Linux (Ubuntu); chi riesce a violare il sistema, si porta a casa il laptop più un premio in denaro.

Il primo giorno, tutti i tre sistemi hanno resistito.
Il secondo giorno MacOSX è crollato (in appena 2 minuti) a causa di una falla in Safari.
Il terzo e ultimo giorno è crollato Vista a causa di una falla in Flash.

Alla fine, è rimasto in piedi solo Linux Ubuntu!!!

Anche se ci sarebbe da discutere sulla valenza di queste iniziative, rimane la soddisfazione nel vedere un sistema operativo gratuito e opensource che ridicolizza i sistemi operativi "ufficiali" creati dai due colossi mondiali Apple e Microsoft!

Secondo me Steve Jobs e Bill Gates dovrebbero vergognarsi!!!!

Il sito ufficiale della disfida:

Prima giornata
Seconda giornata
Terza giornata

Adesso cerchiamo di non montarci la testa ...

[ksniffer]

[slucky]

avevo letto sul corriere che un hacker in 2 minuti era riuscito a violare le difese dell'ultimo modernissimo laptop di casa apple, però non sapevo che si trattasse di una gara tra i 3 sistemi operativi e gli hacker, in ogni caso mi pare una grande notizia che mostra la validità e la superiorità del pinguino sui sistemi commerciali e proprietari, insomma è una notizia non di poco conto

SAluti a tutti

[phobos3576]

L'aspetto scandaloso è che ieri le prime pagine di tutti i principali quotidiani on-line riportavano in grande evidenza la notizia del MacBook Air violato in 2 minuti; oggi è stato violato Windows Vista, ma nessuno ne parla!

Paura????

[conraid]

L'aspetto scandaloso è che ieri le prime pagine di tutti i principali quotidiani on-line riportavano in grande evidenza la notizia del MacBook Air violato in 2 minuti; oggi è stato violato Windows Vista, ma nessuno ne parla!

Paura????

Windows violato non fa notizia
È come quando una delle squadre prime in classifica nel campionato di serie A gioca una partita, magari in coppa Italia, con l'ultima di serie B. Se vince non ne parla nessuno, se perde ne parlano tutti.

[tarini]

chi è il genio che ha scelto il nome per l'iniziativa?

[cyme]

Windows violato non fa notizia

[Vito]

ho letto anche io questa notizia...è una cosa ormai risaputa che "GNU/Linux = Sicurezza" ..... basta vedere la frequenza degli aggiornamenti dei bug! (vedi post su falla del kernel )

[ksniffer]

ho letto anche io questa notizia...è una cosa ormai risaputa che "GNU/Linux = Sicurezza" ..... basta vedere la frequenza degli aggiornamenti dei bug! (vedi post su falla del kernel )

Se è per questo la falla del kernel (che ho sperimentato con un exploit pubblico: funzionava) è stata la per mesi e mesi.
Il che mi ha lasciato sbalordito. Quelli di kernel.org stanno sotto stress, fanno un lavoraccio, ma lasciare una falla come quella per mesi e mesi, insomma... Poi si parla di Windows. L'exploit lo avranno trovato tardi, non so, ma se lo avessero trovato per tempo?

[conraid]

L'exploit lo avranno trovato tardi, non so, ma se lo avessero trovato per tempo?

Si sapeva per tempo. Il bello ed il brutto dei software opensource è quello che si può capire alcuni bug direttamente leggendo il codice sorgente, ma al tempo stesso puoi intervenire senza aspettare la casa madre.
Può anche succedere che qualcuno trova un bug e non dice niente, ma solitamente chi lo trova pubblica l'exploit. Non penso che non abbiano corretto per mancanza di tempo o altro. Il tutto "nella mia umile opinione"

[Mario Vanoni]

L'exploit lo avranno trovato tardi, non so, ma se lo avessero trovato per tempo?

Si sapeva per tempo. Il bello ed il brutto dei software opensource è quello che si può capire alcuni bug direttamente leggendo il codice sorgente, ma al tempo stesso puoi intervenire senza aspettare la casa madre.
Può anche succedere che qualcuno trova un bug e non dice niente, ma solitamente chi lo trova pubblica l'exploit. Non penso che non abbiano corretto per mancanza di tempo o altro. Il tutto "nella mia umile opinione"

Concordo al 100%.
L'errore era minore, senza grande rilievo.
I cracker non provano un exploit a senso unico (> /dev/null)!

Mario Vanoni

[Vito]

c'è da dire che però quando è saltato fuori quel bug (nel senso che il team di kernel.org l'ha scovato)... hanno subito rialsciato la patch...

[Mario Vanoni]

c'è da dire che però quando è saltato fuori quel bug (nel senso che il team di kernel.org l'ha scovato)... hanno subito rialsciato la patch...

Per essere corretti, ma posso sbagliarmi:

L'errore era stato notato dal 2.6.15,
una vulnerabilita` che poteva causare una corruzione della memoria
nel caso di un attacco DOS, ma _solo_ su macchine SMP,
l'effetto finale era di rendere la macchina non piu` usabile.
Non era la fine del mondo!

Con il 2.6.24/2.6.24.# il problema e` stato risolto definitivamente.

Le macchine Desktop erano coinvolte in minima parte,
quanti utenti Slacky hanno/usano una SMP?

Mario Vanoni

[JohnnyMnemonic]

Ma non vi riferivate all'exploit che permetteva di diventare root sfruttando un bug di una system call (vmsplice) ?

[ksniffer]

Ma non vi riferivate all'exploit che permetteva di diventare root sfruttando un bug di una system call (vmsplice) ?

Sì io mi riferivo a quello e funzionava su macchine non SMP.