Un MacBook Air hacké les doigts dans le nez

Le
Daniel
Ouch!
Ça fait mal aux yeux de lire ça. On a soumis 3 ordinateurs munis de 3
systèmes d'exploitation (MacOSX, Linux et Windows) à des «hackers». Si
l'un d'eux pouvait réussir à prendre le contrôle de l'un d'eux, il
gagnait 20000$ ainsi que l'ordi hacké.

Le Mac n'a pas résisté 2 minutes.

C'eût été Windows qui aurait été pris en défaut, on aurait eu une
enfilade de 50-60 intervenants en train de se moquer et de se rouler
par terre (je m'étais déjà acheté ma bouteille de vin), mais là on va
la jouer «low profile».

Cela s'est passé à Vancouver (Canada)

<http://www.macquebec.com/spip.php?article4569>
<http://cansecwest.com/>

Daniel
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
jacques
Le #3200801
Daniel
Le Mac... n'a pas résisté 2 minutes.


A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.

Test bidon, pour le Mac mais aussi pour les autres OS.

Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html

Eric Levenez
Le #3200781
Le 29/03/08 04:39, dans ,
« Daniel »
Le Mac... n'a pas résisté 2 minutes.


D'après ce que j'ai compris, le cracker a trouvé une faille et a mis 3
semaines pour réussir à l'utiliser. Les 2 minutes ne concernent que sa
tentative, cela aurait pu être 2 secondes. Cela ne veut rien dire sur la
fiabilité de Mac OS X par rapport aux autres systèmes.

--
Éric Lévénez -- Unix is not only an OS, it's a way of life.

Jerome Vernet
Le #3200611


Bref, quasiment tout le monde s'est attaqué au macbook air. La seule
conclusion qu'on peut en tirer c'ets que les hackers préfèrent gagner un mac.

Pas mal, comme conclusion !


lol


--
-----
Jerome Vernet
Petite Collection de vieux micros
http://perso.orange.fr/jerome.vernet/

Dare Dare Motus
Le #3200571
On 2008-03-29 09:23:45 +0100, Erwan David
La seule
conclusion qu'on peut en tirer c'ets que les hackers préfèrent gagner un mac.


he he he he.... pas mal vu !!

blanc
Le #3200441
Jacques Foucry
A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.


Si j'en crois le site de cansecwest :
il n'y avait pas d'acces physique (7ème point) :

Quick Overview:

* Limit one laptop per contestant.
* You can't use the same vulnerability to claim more than one box, if
it is a cross-platform issue.
* Thirty minute attack slots given to contestants at each box.
* Attack slots will be scheduled at the contest start by the methods
selected by the judges.
* Attacks are done via crossover cable. (attacker controls default
route)
* RF attacks are done offsite by special arrangement...
* No physical access to the machines.
* Major web browsers (IE, Safari, Konqueror, Firefox), widely used and
deployed plugin frameworks (AIR, Silverlight), IM clients (MSN, Adium,
Skype, Pigdin, AOL, Yahoo), Mail readers (Outlook, Mail.app,
Thunderbird, kmail) are all in scope.
--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE

jacques
Le #3200301
JiPaul
* No physical access to the machines.


Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.

Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html

patpro ~ Patrick Proniewski
Le #3200281
In article (Jacques Foucry) wrote:

JiPaul
* No physical access to the machines.


Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.


ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.

patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133


Nicolas-MICHEL'_remove_'
Le #3200201
patpro ~ Patrick Proniewski
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.


Autrement dit :
"La pomme jaune a pourri, donc la pomme rouge ne peut pas pourire"

Ils devaient utiliser les softs installés par défaut, donc Safari et pas
un firefox ou autre, ce qui ne prouve pas que les autres butineurs sont
exempts de faille. Au contraire en fait.

--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas

Nicolas-MICHEL'_remove_'
Le #3200221
JiPaul
Jacques Foucry
A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.


Si j'en crois le site de cansecwest :
il n'y avait pas d'acces physique (7ème point) :


C'est pas ce que j'ai lu

<http://www.macgeneration.com/unes/voir/127098/un-macbook-air-hacke-en-d
eux-minutes>

Je cite :
***Lors du premier jour où les hackers n'avaient pas le droit d'accéder
physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis
hier, comme le prévoit le concours, ils pouvaient les approcher.
Toutefois, ils n'avaient le droit que d'utiliser les logiciels livrés en
standard avec le système.***

Dureste on parle d'une faille safari.
Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa
page piégée, je piges pas.

Reste que ça prouve une fois de plus qu'il faut faire les software
update et surtout des backup.
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas


laurent.pertois
Le #3200171
Nicolas MICHEL
Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa
page piégée, je piges pas.


En fait le gars n'accède pas directement à la machine mais a pu
demander, selon les règles, à l'opérateur de la machine, un membre du
jury, d'accéder à une page donnée et de cliquer sur les liens. Une fois
cette opération effectuée, la faille a ouvert un port de communication
sur la machine et il a pu faire un telnet sur ce port.

D'après l'article et les commentaires sur arstechnica, il ne lui a fallu
que 2 minutes vu qu'il avait préparé pendant 3 semaines avant, cherchant
une faille, la testant, préparant la page permettant d'utiliser cette
faille et ne dévoilant surtout pas la faille vu que le règlement
interdit justement d'utiliser une faille déjà dévoilée.

Celui qui a découvert la faille a donc intentionnellement cherché une
faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et
a juste sagement attendu le second jour avec l'assouplissement des
règles pour empocher les 10000$ et le MacBook Air.

La faille a depuis été indiquée à Apple uniquement comme le prévoit le
règlement du concours.

Le lien sur ArsTechnica :

<http://arstechnica.com/journals/apple.ars/2008/03/28/macbook-air-compro
mised-in-2-minutes-for-10000>

C'est surtout dans les commentaires qu'on apprend les détails.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Publicité
Poster une réponse
Anonyme