Ouch!
Ça fait mal aux yeux de lire ça. On a soumis 3 ordinateurs munis de 3
systèmes d'exploitation (MacOSX, Linux et Windows) à des «hackers». Si
l'un d'eux pouvait réussir à prendre le contrôle de l'un d'eux, il
gagnait 20000$ ainsi que l'ordi hacké.
Le Mac... n'a pas résisté 2 minutes.
C'eût été Windows qui aurait été pris en défaut, on aurait eu une
enfilade de 50-60 intervenants en train de se moquer et de se rouler
par terre (je m'étais déjà acheté ma bouteille de vin), mais là on va
la jouer «low profile».
A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.
Test bidon, pour le Mac mais aussi pour les autres OS.
Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html
D'après ce que j'ai compris, le cracker a trouvé une faille et a mis 3 semaines pour réussir à l'utiliser. Les 2 minutes ne concernent que sa tentative, cela aurait pu être 2 secondes. Cela ne veut rien dire sur la fiabilité de Mac OS X par rapport aux autres systèmes.
Le 29/03/08 04:39, dans <2008032823392116807-danielB@nospamnospam>,
« Daniel » <danielB@nospam.nospam> a écrit :
Le Mac... n'a pas résisté 2 minutes.
D'après ce que j'ai compris, le cracker a trouvé une faille et a mis 3
semaines pour réussir à l'utiliser. Les 2 minutes ne concernent que sa
tentative, cela aurait pu être 2 secondes. Cela ne veut rien dire sur la
fiabilité de Mac OS X par rapport aux autres systèmes.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
D'après ce que j'ai compris, le cracker a trouvé une faille et a mis 3 semaines pour réussir à l'utiliser. Les 2 minutes ne concernent que sa tentative, cela aurait pu être 2 secondes. Cela ne veut rien dire sur la fiabilité de Mac OS X par rapport aux autres systèmes.
La seule conclusion qu'on peut en tirer c'ets que les hackers préfèrent gagner un mac.
he he he he.... pas mal vu !!
blanc
Jacques Foucry wrote:
A partir du moment ou il y a accès physique à la machine, il n'y a plus AUCUNE sécurité.
Si j'en crois le site de cansecwest : <http://cansecwest.com/> il n'y avait pas d'acces physique (7ème point) :
Quick Overview:
* Limit one laptop per contestant. * You can't use the same vulnerability to claim more than one box, if it is a cross-platform issue. * Thirty minute attack slots given to contestants at each box. * Attack slots will be scheduled at the contest start by the methods selected by the judges. * Attacks are done via crossover cable. (attacker controls default route) * RF attacks are done offsite by special arrangement... * No physical access to the machines. * Major web browsers (IE, Safari, Konqueror, Firefox), widely used and deployed plugin frameworks (AIR, Silverlight), IM clients (MSN, Adium, Skype, Pigdin, AOL, Yahoo), Mail readers (Outlook, Mail.app, Thunderbird, kmail) are all in scope. -- JiPaul. / /--/--// Jean-Paul Blanc |/| L | quelquepart en (somewhere in) /|| = ||| FRANCE
Jacques Foucry <jacques@foucry.net.invalid> wrote:
A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.
Si j'en crois le site de cansecwest :
<http://cansecwest.com/>
il n'y avait pas d'acces physique (7ème point) :
Quick Overview:
* Limit one laptop per contestant.
* You can't use the same vulnerability to claim more than one box, if
it is a cross-platform issue.
* Thirty minute attack slots given to contestants at each box.
* Attack slots will be scheduled at the contest start by the methods
selected by the judges.
* Attacks are done via crossover cable. (attacker controls default
route)
* RF attacks are done offsite by special arrangement...
* No physical access to the machines.
* Major web browsers (IE, Safari, Konqueror, Firefox), widely used and
deployed plugin frameworks (AIR, Silverlight), IM clients (MSN, Adium,
Skype, Pigdin, AOL, Yahoo), Mail readers (Outlook, Mail.app,
Thunderbird, kmail) are all in scope.
--
JiPaul.
/ /--/--//\ Jean-Paul Blanc
|/| L |\ quelquepart en (somewhere in)
/|| = |||\ FRANCE
A partir du moment ou il y a accès physique à la machine, il n'y a plus AUCUNE sécurité.
Si j'en crois le site de cansecwest : <http://cansecwest.com/> il n'y avait pas d'acces physique (7ème point) :
Quick Overview:
* Limit one laptop per contestant. * You can't use the same vulnerability to claim more than one box, if it is a cross-platform issue. * Thirty minute attack slots given to contestants at each box. * Attack slots will be scheduled at the contest start by the methods selected by the judges. * Attacks are done via crossover cable. (attacker controls default route) * RF attacks are done offsite by special arrangement... * No physical access to the machines. * Major web browsers (IE, Safari, Konqueror, Firefox), widely used and deployed plugin frameworks (AIR, Silverlight), IM clients (MSN, Adium, Skype, Pigdin, AOL, Yahoo), Mail readers (Outlook, Mail.app, Thunderbird, kmail) are all in scope. -- JiPaul. / /--/--// Jean-Paul Blanc |/| L | quelquepart en (somewhere in) /|| = ||| FRANCE
jacques
JiPaul wrote:
* No physical access to the machines.
Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.
Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.
Jacques
--
« Mac OS X Server à votre Service » est épuisé.
Vous pouvez désormais l'acquérir en PDF
<http://www.foucry.net/Redaction/service/service.html
In article <1ienoxw.5arw28s4brx0N%, (Jacques Foucry) wrote:
JiPaul wrote:
* No physical access to the machines.
Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
In article <1ienoxw.5arw28s4brx0N%jacques@foucry.net.invalid>,
jacques@foucry.net.invalid (Jacques Foucry) wrote:
JiPaul <blanc@empty.org> wrote:
* No physical access to the machines.
Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.
patpro
--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
In article <1ienoxw.5arw28s4brx0N%, (Jacques Foucry) wrote:
JiPaul wrote:
* No physical access to the machines.
Ah ok... D'un autre coté ça ne m'inquiète pas trop non plus.
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
Autrement dit : "La pomme jaune a pourri, donc la pomme rouge ne peut pas pourire"
Ils devaient utiliser les softs installés par défaut, donc Safari et pas un firefox ou autre, ce qui ne prouve pas que les autres butineurs sont exempts de faille. Au contraire en fait.
-- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> wrote:
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et
permet de prendre la main sur la machine cliente. Mais heureusement,
personne n'utilise Safari. ouf.
Autrement dit :
"La pomme jaune a pourri, donc la pomme rouge ne peut pas pourire"
Ils devaient utiliser les softs installés par défaut, donc Safari et pas
un firefox ou autre, ce qui ne prouve pas que les autres butineurs sont
exempts de faille. Au contraire en fait.
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
ho ben c'est juste une faille de safari qui n'est pas encore bouchée et permet de prendre la main sur la machine cliente. Mais heureusement, personne n'utilise Safari. ouf.
Autrement dit : "La pomme jaune a pourri, donc la pomme rouge ne peut pas pourire"
Ils devaient utiliser les softs installés par défaut, donc Safari et pas un firefox ou autre, ce qui ne prouve pas que les autres butineurs sont exempts de faille. Au contraire en fait.
-- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
Nicolas-MICHEL'_remove_'
JiPaul wrote:
Jacques Foucry wrote:
A partir du moment ou il y a accès physique à la machine, il n'y a plus AUCUNE sécurité.
Si j'en crois le site de cansecwest : <http://cansecwest.com/> il n'y avait pas d'acces physique (7ème point) :
Je cite : ***Lors du premier jour où les hackers n'avaient pas le droit d'accéder physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis hier, comme le prévoit le concours, ils pouvaient les approcher. Toutefois, ils n'avaient le droit que d'utiliser les logiciels livrés en standard avec le système.***
Dureste on parle d'une faille safari. Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa page piégée, je piges pas.
Reste que ça prouve une fois de plus qu'il faut faire les software update et surtout des backup. -- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
JiPaul <blanc@empty.org> wrote:
Jacques Foucry <jacques@foucry.net.invalid> wrote:
A partir du moment ou il y a accès physique à la machine, il n'y a plus
AUCUNE sécurité.
Si j'en crois le site de cansecwest :
<http://cansecwest.com/>
il n'y avait pas d'acces physique (7ème point) :
Je cite :
***Lors du premier jour où les hackers n'avaient pas le droit d'accéder
physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis
hier, comme le prévoit le concours, ils pouvaient les approcher.
Toutefois, ils n'avaient le droit que d'utiliser les logiciels livrés en
standard avec le système.***
Dureste on parle d'une faille safari.
Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa
page piégée, je piges pas.
Reste que ça prouve une fois de plus qu'il faut faire les software
update et surtout des backup.
--
Nicolas - MICHEL at bluewin point ch
AIM : michelnicolas
Je cite : ***Lors du premier jour où les hackers n'avaient pas le droit d'accéder physiquement aux ordinateurs, ils ont parfaitement tenu le coup. Depuis hier, comme le prévoit le concours, ils pouvaient les approcher. Toutefois, ils n'avaient le droit que d'utiliser les logiciels livrés en standard avec le système.***
Dureste on parle d'une faille safari. Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa page piégée, je piges pas.
Reste que ça prouve une fois de plus qu'il faut faire les software update et surtout des backup. -- Nicolas - MICHEL at bluewin point ch AIM : michelnicolas
laurent.pertois
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa page piégée, je piges pas.
En fait le gars n'accède pas directement à la machine mais a pu demander, selon les règles, à l'opérateur de la machine, un membre du jury, d'accéder à une page donnée et de cliquer sur les liens. Une fois cette opération effectuée, la faille a ouvert un port de communication sur la machine et il a pu faire un telnet sur ce port.
D'après l'article et les commentaires sur arstechnica, il ne lui a fallu que 2 minutes vu qu'il avait préparé pendant 3 semaines avant, cherchant une faille, la testant, préparant la page permettant d'utiliser cette faille et ne dévoilant surtout pas la faille vu que le règlement interdit justement d'utiliser une faille déjà dévoilée.
Celui qui a découvert la faille a donc intentionnellement cherché une faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et a juste sagement attendu le second jour avec l'assouplissement des règles pour empocher les 10000$ et le MacBook Air.
La faille a depuis été indiquée à Apple uniquement comme le prévoit le règlement du concours.
C'est surtout dans les commentaires qu'on apprend les détails.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa
page piégée, je piges pas.
En fait le gars n'accède pas directement à la machine mais a pu
demander, selon les règles, à l'opérateur de la machine, un membre du
jury, d'accéder à une page donnée et de cliquer sur les liens. Une fois
cette opération effectuée, la faille a ouvert un port de communication
sur la machine et il a pu faire un telnet sur ce port.
D'après l'article et les commentaires sur arstechnica, il ne lui a fallu
que 2 minutes vu qu'il avait préparé pendant 3 semaines avant, cherchant
une faille, la testant, préparant la page permettant d'utiliser cette
faille et ne dévoilant surtout pas la faille vu que le règlement
interdit justement d'utiliser une faille déjà dévoilée.
Celui qui a découvert la faille a donc intentionnellement cherché une
faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et
a juste sagement attendu le second jour avec l'assouplissement des
règles pour empocher les 10000$ et le MacBook Air.
La faille a depuis été indiquée à Apple uniquement comme le prévoit le
règlement du concours.
C'est surtout dans les commentaires qu'on apprend les détails.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Si le gars n'a pas pu aller localement demander à Safari d'accéder à sa page piégée, je piges pas.
En fait le gars n'accède pas directement à la machine mais a pu demander, selon les règles, à l'opérateur de la machine, un membre du jury, d'accéder à une page donnée et de cliquer sur les liens. Une fois cette opération effectuée, la faille a ouvert un port de communication sur la machine et il a pu faire un telnet sur ce port.
D'après l'article et les commentaires sur arstechnica, il ne lui a fallu que 2 minutes vu qu'il avait préparé pendant 3 semaines avant, cherchant une faille, la testant, préparant la page permettant d'utiliser cette faille et ne dévoilant surtout pas la faille vu que le règlement interdit justement d'utiliser une faille déjà dévoilée.
Celui qui a découvert la faille a donc intentionnellement cherché une faille, l'a gardé pour lui, n'a d'ailleurs rien tenté le premier jour et a juste sagement attendu le second jour avec l'assouplissement des règles pour empocher les 10000$ et le MacBook Air.
La faille a depuis été indiquée à Apple uniquement comme le prévoit le règlement du concours.
C'est surtout dans les commentaires qu'on apprend les détails.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.