【OS】PWN 2 OWNハッキングコンテストはVistaも陥落、残ったのはLinux[08/03/30]
1 :やるっきゃ騎士φ ★:2008/03/31(月) 11:56:00 ID:???
MacBook Air / Mac OS Xが2分でファイルを盗まれたPWN 2 OWNの続報をお届けします。
MacBook Airが陥落した2日目は残るWindows Vista ・ Linuxともに持ちこたえたものの、
さらに条件が緩和された3日目にはVistaがFlashを使った攻撃で侵入を許し、最後まで
残ったのはUbuntuという結果になりました。
コンテストの課題はそれぞれWindows Vista / Mac OS X / Linux (Ubuntu)をインストール
した3台のノートPCいずれかから目標のファイルを読み取ること、条件は一日目がリモートから
の攻撃のみ・ユーザー操作なし、2日目がデフォルトインストールされたソフトの操作(たとえば
ブラウザでリンクを開く)、3日目は操作アプリを一般的なサードパーティーソフトまで広げる
というもの。MacBook Airは2日目に「Safariで指定のurlを開く」ユーザー操作により陥落
していました。
翌日にWindows Vistaを"PWN"したのは昨年の勝利チームにも名を連ねていた
Shane Macaulay氏(Security Objectives)と協力者。3日目になったのはFlashの最新版を
インストールする必要があったからとされています。Macaulay氏が獲得したのは2日目の勝者
Miller氏のさらに半分となる5000ドル、およびWindowsが走っていたノート富士通U810。
(UbuntuがインストールされていたのはソニーVaio)。
使用された0dayアタックの詳細はアドビがパッチをリリースするまで非公開となっています。
PC Worldの記事ではMacaulay氏本人の言葉として「Javaを利用してプロテクトを回避する
手法」「LinuxやMac OS Xにも影響する可能性がある」。またVista SP1で採用された新たな
セキュリティ手段のためVMware研究者Alexander Sotirov氏の協力を仰ぐ必要があったとも。
この結果だけをみればMac OS Xが一番脆弱、一日分の壁を置いて次がVista、そしてLinuxは
難攻不落のようにも受け取れますが、PWN 2 OWNはあくまでルールを定めて0day exploitを
競うコンテストです。主催者TippingPointによれば、参加者の多くはLinuxにも使えるバグを
見つけていたものの、実際にコンテストに勝つためのexploitコードを書く作業を嫌ったとの
こと。セキュリティレスポンスマネージャTerri Forslof氏いわく、「(Linuxが) 持ちこたえた
ことに驚かされた」。
ソースは
http://japanese.engadget.com/2008/03/30/pwn-2-own-vista-linux/
関連スレは
【ネット/PC】セキュリティ研究者がMacBook Airの侵入に成功--所要時間はわずか2分[08/03/28]
http://news24.2ch.net/test/read.cgi/bizplus/1206761915/l50
依頼を受けてたてました。
MacBook Airが陥落した2日目は残るWindows Vista ・ Linuxともに持ちこたえたものの、
さらに条件が緩和された3日目にはVistaがFlashを使った攻撃で侵入を許し、最後まで
残ったのはUbuntuという結果になりました。
コンテストの課題はそれぞれWindows Vista / Mac OS X / Linux (Ubuntu)をインストール
した3台のノートPCいずれかから目標のファイルを読み取ること、条件は一日目がリモートから
の攻撃のみ・ユーザー操作なし、2日目がデフォルトインストールされたソフトの操作(たとえば
ブラウザでリンクを開く)、3日目は操作アプリを一般的なサードパーティーソフトまで広げる
というもの。MacBook Airは2日目に「Safariで指定のurlを開く」ユーザー操作により陥落
していました。
翌日にWindows Vistaを"PWN"したのは昨年の勝利チームにも名を連ねていた
Shane Macaulay氏(Security Objectives)と協力者。3日目になったのはFlashの最新版を
インストールする必要があったからとされています。Macaulay氏が獲得したのは2日目の勝者
Miller氏のさらに半分となる5000ドル、およびWindowsが走っていたノート富士通U810。
(UbuntuがインストールされていたのはソニーVaio)。
使用された0dayアタックの詳細はアドビがパッチをリリースするまで非公開となっています。
PC Worldの記事ではMacaulay氏本人の言葉として「Javaを利用してプロテクトを回避する
手法」「LinuxやMac OS Xにも影響する可能性がある」。またVista SP1で採用された新たな
セキュリティ手段のためVMware研究者Alexander Sotirov氏の協力を仰ぐ必要があったとも。
この結果だけをみればMac OS Xが一番脆弱、一日分の壁を置いて次がVista、そしてLinuxは
難攻不落のようにも受け取れますが、PWN 2 OWNはあくまでルールを定めて0day exploitを
競うコンテストです。主催者TippingPointによれば、参加者の多くはLinuxにも使えるバグを
見つけていたものの、実際にコンテストに勝つためのexploitコードを書く作業を嫌ったとの
こと。セキュリティレスポンスマネージャTerri Forslof氏いわく、「(Linuxが) 持ちこたえた
ことに驚かされた」。
ソースは
http://japanese.engadget.com/2008/03/30/pwn-2-own-vista-linux/
関連スレは
【ネット/PC】セキュリティ研究者がMacBook Airの侵入に成功--所要時間はわずか2分[08/03/28]
http://news24.2ch.net/test/read.cgi/bizplus/1206761915/l50
依頼を受けてたてました。
2 :名刺は切らしておりまして:2008/03/31(月) 11:59:14 ID:Z1W8RXwJ
真のサバゲー
3 :Ψ:2008/03/31(月) 11:59:46 ID:KIfuLgh8
ニダ━━━━━━<丶`∀´>━━━━━━━!!!!!
4 :名刺は切らしておりまして:2008/03/31(月) 12:02:12 ID:bsExzqex
ネットにつないでないPC最強
5 :名刺は切らしておりまして:2008/03/31(月) 12:02:35 ID:WNHER5Bs
appleを破る→俺でもできるわw
winを破る→MSが高い年俸でスカウト
linuxを破る→ふーん
winに全力を傾けるのは当然
winを破る→MSが高い年俸でスカウト
linuxを破る→ふーん
winに全力を傾けるのは当然
6 :名刺は切らしておりまして:2008/03/31(月) 12:06:36 ID:dB6qqj6k
ほぼ予想通り
appleの弱さは予想外w
appleの弱さは予想外w
7 :名刺は切らしておりまして:2008/03/31(月) 12:07:02 ID:gSJ01VUb
MS製品はこれ以上機能強化すると
独禁法云々いう連合が欧州にあるからねぇ。
独禁法云々いう連合が欧州にあるからねぇ。
8 :名刺は切らしておりまして:2008/03/31(月) 12:15:23 ID:Aduf2tUX
9 :名刺は切らしておりまして:2008/03/31(月) 12:15:44 ID:N3V7Q5KR
x86 Solaris がタダで使えるのにわざわざ Linux を選択する理由が分からん。
GUI インストーラーがないとダメなんだろうか。いや Solaris も付いてるし。
GUI インストーラーがないとダメなんだろうか。いや Solaris も付いてるし。
10 :名刺は切らしておりまして:2008/03/31(月) 12:15:57 ID:uO4D03TS
MicrosoftというよりAdobeが悪いのでは?
11 :名刺は切らしておりまして:2008/03/31(月) 12:18:00 ID:5+gI9FNL
solarisはリリース版はタダだけど、パッチは有料じゃないか
12 :名刺は切らしておりまして:2008/03/31(月) 12:21:29 ID:kb2BzCtd
VISTAでそんだけもつなら十分な気がする
Macは論外だし、その他は構築がめんどくさい
仕事用の奴はネットつながないし、どうせ億に一つでも狙われないだろうし
趣味用も妻用も、んな大事なもんいれないからねぇ
Macは論外だし、その他は構築がめんどくさい
仕事用の奴はネットつながないし、どうせ億に一つでも狙われないだろうし
趣味用も妻用も、んな大事なもんいれないからねぇ
13 :名刺は切らしておりまして:2008/03/31(月) 12:21:31 ID:Dk4XgHY5
14 :名刺は切らしておりまして:2008/03/31(月) 12:25:13 ID:sWxoKbQI
>>11
無償であるよ。
無償であるよ。
15 :名刺は切らしておりまして:2008/03/31(月) 12:27:32 ID:3Vhk8vXD
>なんだかんだ言っても、常にハッカーに鍛えられてたMSは多少は強いでしょw
無い
無い
16 :名刺は切らしておりまして:2008/03/31(月) 12:32:21 ID:Dk4XgHY5
>>12
What!!
What!!
17 :名刺は切らしておりまして:2008/03/31(月) 12:41:51 ID:Yls+ltnx
Ubuntuは完全にフリーだけど
開発体制がしっかりしてるから
安心して使える
開発体制がしっかりしてるから
安心して使える
18 :名刺は切らしておりまして:2008/03/31(月) 12:46:46 ID:6+VqL/UH
>>17
新手のアメリカンジョーク?
新手のアメリカンジョーク?
19 :名刺は切らしておりまして:2008/03/31(月) 12:47:40 ID:dB6qqj6k
20 :名刺は切らしておりまして:2008/03/31(月) 12:48:57 ID:5gecdak9
Safariの脆弱性ついたのはiPod touchの投獄できるようにした香具師と同じ人だろ
アップルはこいつ雇ってバグつぶしさせろw
アップルはこいつ雇ってバグつぶしさせろw
21 :名刺は切らしておりまして:2008/03/31(月) 12:54:25 ID:8hZq4b3t
>17
Ubuntuがどうの恋うのって言う問題ではないと思う。
あそこは単にパッケージを収集してガワを作ってるだけだしね。
後、LinuxにもOSXにもいえるけど、UNIX系(あまり正しい言い方じゃ無いけど)は
OpenSourceのパッケージを多く扱ってるから、そこから穴が発見されることも多い。
今回はOSXで使用しているWebKit自体のあなっぽいけどね。
なので、セキュリティホールに関しては、絶えずあるし、Linuxの有利な点はRHにしろ、
なんにしろ、会社の規模がAppleほど大きくないっていう点じゃないだろうかね。
なので、セキュリティホールが見つかった段階で、開発している開発者や開発チームが
patchを出して、それをさっさと取り込むことが出来る。
Appleとかはある程度社内テストしないと出せないようだし、即効性にかけるっちゃ欠ける。
ただし、そのおかげ(?)かどうかわからんけど、以前OpenSourceProjectで長い間サー
バがHackされていることも気づかず、patchを出していたって言うこともあったりして、そう
いう意味じゃLinuxだから万能っていうわけでもないという意見もあったりして。
Ubuntuがどうの恋うのって言う問題ではないと思う。
あそこは単にパッケージを収集してガワを作ってるだけだしね。
後、LinuxにもOSXにもいえるけど、UNIX系(あまり正しい言い方じゃ無いけど)は
OpenSourceのパッケージを多く扱ってるから、そこから穴が発見されることも多い。
今回はOSXで使用しているWebKit自体のあなっぽいけどね。
なので、セキュリティホールに関しては、絶えずあるし、Linuxの有利な点はRHにしろ、
なんにしろ、会社の規模がAppleほど大きくないっていう点じゃないだろうかね。
なので、セキュリティホールが見つかった段階で、開発している開発者や開発チームが
patchを出して、それをさっさと取り込むことが出来る。
Appleとかはある程度社内テストしないと出せないようだし、即効性にかけるっちゃ欠ける。
ただし、そのおかげ(?)かどうかわからんけど、以前OpenSourceProjectで長い間サー
バがHackされていることも気づかず、patchを出していたって言うこともあったりして、そう
いう意味じゃLinuxだから万能っていうわけでもないという意見もあったりして。
22 :名刺は切らしておりまして:2008/03/31(月) 13:12:48 ID:wZhK4kV4
Macのは少し前から公表されてた事案を利用しただけだろ
新しい穴探せよチキン
新しい穴探せよチキン
23 :名刺は切らしておりまして:2008/03/31(月) 13:34:30 ID:KH/CN/Lu
24 :名刺は切らしておりまして:2008/03/31(月) 15:11:27 ID:/rMr9yWz
ハッキングコンテストにOS/2も加えるべし!
25 :名刺は切らしておりまして:2008/03/31(月) 15:36:12 ID:8hZq4b3t
まぁ、世間でそこそこなじみがあるOSに限定してるんだろうねえ。
本来ならSoralisとか、FreeBSD、OpenBSD、NetBSD、HP-UX当
たりは入れてほしいモノだけど。
本来ならSoralisとか、FreeBSD、OpenBSD、NetBSD、HP-UX当
たりは入れてほしいモノだけど。
26 :名刺は切らしておりまして:2008/03/31(月) 15:48:29 ID:IhyZAngx
27 :名刺は切らしておりまして:2008/03/31(月) 22:01:21 ID:Wn8JFN0g
Flushを突いて良いならバグだらけのLinux版の方が楽な気もする
あとクライアントよりも鯖対決の方が楽しいと思うな
あとクライアントよりも鯖対決の方が楽しいと思うな
28 :名刺は切らしておりまして:2008/03/31(月) 22:30:18 ID:REK9fpc5
linuxがPWNされなかったのは金にならんからかインパクトがないからか
みんなVistaをボッコボコにしてやんよって感じだったのかな
みんなVistaをボッコボコにしてやんよって感じだったのかな
29 :名刺は切らしておりまして:2008/03/31(月) 22:34:27 ID:iRO3s66F
>>27
さぁ、そのバグを報告する作業に戻るんだ
さぁ、そのバグを報告する作業に戻るんだ
30 :名刺は切らしておりまして:2008/03/31(月) 23:01:00 ID:Qu0o3iGY
僕のセキュリティホールもハッキングされそうです
31 :名刺は切らしておりまして:2008/03/31(月) 23:03:43 ID:BRcmXjas
flash経由かよ
やっぱこの手の手口が拡大しそうだな
勘弁してくれ
やっぱこの手の手口が拡大しそうだな
勘弁してくれ
32 :名刺は切らしておりまして:2008/04/01(火) 00:15:24 ID:PODAECpt
ubuntuって世界のPCメーカーが寄付してそうだ・・。
でも、俺的には安くなれば何でもいいです。
でも、俺的には安くなれば何でもいいです。
33 :名刺は切らしておりまして:2008/04/01(火) 03:31:43 ID:jKhtlKJs
tomoyo Linuxはどうした?
34 :名刺は切らしておりまして:2008/04/01(火) 07:19:08 ID:qN7fs813
35 :名刺は切らしておりまして:2008/04/01(火) 09:48:30 ID:h5jotn3H
ただのOSを陥落させても見返りがないんだろ・・・
マックにしろWINにしろ強大な金が動くからな
マックにしろWINにしろ強大な金が動くからな
36 :名刺は切らしておりまして:2008/04/02(水) 00:33:20 ID:kkZ9mM+u
MACが予想以上に貧弱だったのに驚いた。
いくらウィルスの脅威が少ないとはいえ(シェアの関係上)
少しは対策しているのかと思ったが・・
こりゃ当分はWindowsの時代だな
いくらウィルスの脅威が少ないとはいえ(シェアの関係上)
少しは対策しているのかと思ったが・・
こりゃ当分はWindowsの時代だな
37 :名刺は切らしておりまして:2008/04/02(水) 00:41:42 ID:226avzk/
Linuxも鯖の方で攻撃されまくってるから結構固いんだが
Macはなあ
Macはなあ
38 :名刺は切らしておりまして:2008/04/02(水) 02:51:52 ID:GAoUxr3Q
Windowsと言っても堅いのはVistaだぞ。
この堅さのために互換性が犠牲になってる。
この堅さのために互換性が犠牲になってる。
39 :名刺は切らしておりまして:2008/04/03(木) 09:47:46 ID:k3wk1ZMo
Macの安定性、互換性、性能、使い勝手は信者によって水増しされてるからなぁ
現実MacとWindowsじゃ家電と業務用電化製品くらい差がある
現実MacとWindowsじゃ家電と業務用電化製品くらい差がある