MacBook Air invadido dá prêmio de US$10 mil durante conferência CanSecWest
Concurso para hackers termina em 2 minutos com invasão de MacBook Air
[...] O hacker [Charlie Miller] foi o primeiro a invadir um [...] MacBook Air nesta quinta-feira (e ganhar o prêmio máximo de 10 mil dólares) [...], durante o concurso “PWN 2 OWN” na conferência CanSecWest. [...] Ninguém conseguiu a proeza no primeiro dia do concurso, onde só eram permitidos ataques pela rede. No dia seguinte, porém, as regras foram relaxadas para que ações de usuários, como navegar ou receber emails, pudessem ser uma porta de entrada para ataques. Miller [...] precisou de apenas 2 minutos para invadir ao redirecionar os responsáveis pelo concurso a um site que continha um malware que, acessado, dava controle do micro ao hacker. [...]
Durante o evento, foram oferecidos como prêmios para os vencedores um Sony Vaio, um Fujitsu U810 ou um MacBook. De acordo com o IDG Now!, Miller firmou um acordo de não divulgar a brecha até que a Apple fosse notificada da vulnerabilidade. Para terem uma idéia, ele foi um dos primeiros a quebrar também o sistema fechado do iPhone.
No ano passado, o vencedor, Dino Dai Zovi, explorou uma brecha no QuickTime e levou o prêmio para casa. Ele não participou desta edição, dizendo que queria “deixar outra pessoa ganhar.” Hehehe, arrogante? Nem um pouco.
OO Então se eu acessar um site na net, ele pode roubar o controle de meu Mac rapidinho assim? Kd o velho, bulshit?
vixi … fico feio pra nós hein?!
E aí? q q será q a apple vai fazer?
Não existe sistema seguro, principalmente quando o usuário é uma abóbora.
Quando a apple chegar a ter 45 por cento do mercado de computadores pessoais, entao os hackers vao explorar a vontade dois programas que sao os piores ja feitos…quick time e safari com seus bugs…infelismente neste ponto a apple erra e erra feio…tenho um mac pro e uso vista no trabalho e digo que, nunca tive problemas com nenhum dos dois, digo 3 ja que tenho um computer velho com ubuntu…ou seja, pra mim o vista nunca deu problemas como muitos falam…e lembre que nenhum hacker conseguiu invedir o vista nem linux por dois dias…dai apelaram mudaram regras e conseguiram…mas em 2 minutos ai o Balmer tera um orgasmo de prazer..heheheh
Arrego Apple, que mancada, heim! Perder do Explorer é sacanagem, fiquei com vergonha agora! Pelo que eu li em outro site, o cara que invadisse o note ficava com ele. Será que o cara foi em cima do Safari porque ele era mais fácil de quebrar, ou porque ele queria mesmo era ficar com o Air? :D Mas 2 min, provavelmente ele já sabia dessa falha antes, já foi certeiro na ferida.
Alexandre:
O Hacker não conseguiu invadir no 1° DIa, teve a noite toda para planejar uma invasão por outro maio, e quando ela foi liberada ele invadiu.
Como dizia meu primo: O computador mais seguro do mundo é aquele que foi trancado num cofre cuja única pessoa que tinha a chave e sabia a senha morreu semana passada.
Ou Seja, não existe computador seguro.
E olha este post que encontrei http://www.infinityarts.org/viewtopic.php?p=1850&sid=b5364628fb952d3beb233e216a598f4c
Acredito que o Linux é mais seguro porque cada SIstema Operacional é moldado a Escolha do Proprietário, o que torna mais difícil a invasão.
Alguns detalhes do regulamento do concurso.
1. Os equipamentos estavam com os SOs como configurados de fábrica e com as últimas atualizações instaladas. (isso quer dizer que o firewall do Mac estava desativado, não sei por que a Apple não o deixa ela ativado no padrão)
2. No primeiro dia o prêmio era de US$20.000 mais o equipamento caso alguém lê-se o conteúdo de um arquivo que foi colocado em cada SO (não dizem aonde) por acesso remoto, todos os sistemas passaram ilesos.
3. No segundo dia o prêmio era de US$10.000 mais o equipamento caso o arquivo fosse lido por meio de um link enviado por e-mail, IM, ou Website, foi aí que o time da Independent Security Evaluators formado por Charlie Miller, Jake Honoroff, e Mark Daniel conseguiram ganhar o MacBook Air, no ano passado foi feito esse mesmo concurso somente com um MacBook e a mesma empresa ganhou no segundo dia também.
4. O terceiro dia (hoje) é permitido tentar quebrar o acesso aos notebooks (menos o Air que saiu da competição) através da instalação de softwares populares no mesmos, o prêmio agora é de US$5.000 e o notebook, aparentemente o dia ainda não acabou.
5. O acesso a cada time era dividido em slots de 30 minutos divididos associados randomicamente aos participantes, não existiam acessos simultaneos ao mesmo notebook.
Maiores detalhes e notícias atualizadas podem ser encontrado no blog dos organizadores.
O que sera que o cara do pc vai dizer para o cara do mac no próximo episósio? depois de ridicularizar o Windows Vista em seus comercias a Apple tomou um tapa na cara e o Leopard se mostrou apenas um rostinho bonito.
E para quem acha que a Apple corrige suas falhas mais rapidamente esta errado.
http://idgnow.uol.com.br/seguranca/2008/03/27/microsoft-corrige-mais-falhas-no-dia-da-divulgacao-que-apple/
Ao contrário da crença comum de que a Apple faz produtos mais seguros, a empresa de Steve Jobs ficou para trás nas correções.
Nos últimos anos, a Microsoft tentou cultivar uma relação mais próxima com a comunidade de segurança para encorajar pesquisadores a lhe darem uma visão antecipada sobre os problemas com seus softwares. A Apple, no entanto, não parece ter o mesmo grau de relacionamento com a comunidade de segurança.
No fim do terceiro dia (e da competição), o laptop com Ubuntu foi o único que sobreviveu. Todos os sistemas usados na competição estavam em suas versões mais recentes e com todos os patches aplicados.
Ubuntu conseguiu a facanha de aguentar por tres dias os ataques de hackers…por essa e outra que Linux e’ hoje o mais completo sistema operacional, ainda que nao seja pra todos, ja que faltam programas e as vezes drivers…mas isso ensina que, tanto apple como microsoft, com seus sistemas fechados, possuem falhas e falhas graves muitas vezes, apesar de todo o dinheiro e tempo envestido em programadores do mais alto conhecimento… ja ubuntu, como linux, por ser aberto, recebe ajuda de todos, sejam programadores como hackers…isso me faz entender, que sistema aberto nao quer dizer perigoso ou fragil, mas muito mais seguro.
Que seja uma licao a prepotencia de Steve Jobs, que se continuar neste caminho fara da apple a microsoft dos proximos anos, e a bill gates com seu vista, muito in ferior ao xp.
Estou de acordo com seus comentários, Alexandre, em especial o último parágrafo do último deles… Que o Jobs deixe a arrogância de lado e pare de jogar pedra na vidraça dos outros (não só ele como alguns cornos xiitas* que temos visto por aí) e leve mais à sério a preocupação com a segurança.
USO Mac há mais de duas décadas e desde o advento da Internet e, conseqüentemente, das invasões e roubos de informações, já imaginava que sabotar o Mac OS X não seria mais que uma questão de tempo.
Pessoal, mais pé no chão e menos delírio! ;)
*corno xiita: é aquele que em vez de admitir a falha de segurança prefere fazer vista grossa à gravidade do fato.
Pessoal, esperem lá um pouco.
Se o Mac que foi “hackado” tinha a firewall desactivada no Mac OS X, é óbvio que o sistema, por muito seguro que seja, fique vulnerável, visto que as suas protecções estão desactivadas.
Eu gostaria que alguém me dissesse se as protecções do Mac OS X não dificultariam o processo de hacking, se as mesmas estivessem activadas.
Agora, concordo com alguns aqui, no que toca à arrogância da Apple e à sua relativa “lentidão” em corrigir e lançar actualizações que corrijam os bugs e falhas de segurança.
Isto assim, dificulta-me a minha opção: Mac ou Ubuntu Linux? Hmm…
Vou falar o mesmo que falei no fórum: se eu não pegar vírus, tô feliz =]
Eu já não pegava vírus no win XP, mesmo sem ter antivírus nem nada, no Mac eu nem me preocupo com isso.
André,
O que conta é que a Apple entende (e não se sabe o porque) que suas máquinas têm que ser entregues com o firewall desativado (nada que qualquer um não possa habilita-lo). Há quem diga que a falta desta habilitação teria sido o motivo da invasão, mas como, sensatamente, as regras do tal concurso proibiam a divulgação dos detalhes ao público (somente às empresas afetadas) não estou certo se saberemos como foi realmente.
De bom o que acontece é que a Apple terá que baixar a bola, mostrar serviço e correr atrás do prejuízo que seu excesso de confiança (ou estupidez) causou.
E se v. está mesmo à procura de uma opção, vá de Mac porque depois dessa furada o Jobs arrancaria o couro do funcionário infeliz que bobear novamente. ;)
teco, só mais uma questão.
O Mac OS X sempre veio com a firewall desactivada de origem ou é a nova configuração padrão do Leopard?
teco, já agora, o que pensa sobre ?
OOPS! Peço desculpa por ser tão leigo em HTML.
teco, já agora, o que pensa sobre ?
@André: basta colocar a URL, cara.
http://en.wikipedia.org/wiki/FileVault#Criticism
Rafa, peço desculpa, realmente são mesmo leigo no HTML. Estou um pouco desapontado comigo.
Muito obrigadão, Rafa.
Mais uma vez, peço imensas desculpas pelo excesso de posts e de tentativas falhadas.
Rafa, já agora, como procedo para colocar smilies?
Basta digitá-los normalmente no texto, tal como colocarei abaixo, um ponto-e-vírgula seguido de fechamento de parênteses:
;)
Rafa, vou só “postar” para experimentar.
;)
Obrigado, Rafa.
O que eu estava a tentar fazer era colocar um título no link, tentando usar a primeira tag.
André,
Não sou a pessoa indicada para tratar do FileVault por não usa-lo tanto porque minha máquina principal é um desktop e o MacBook nem contém tantas informações privilegiadas… O que venho fazendo há muito tempo é adotar o Open Firmware Password da Apple (trata-se de um programinha que evita o carregamento do sistema por qualquer outro disco de boot sem o uso de uma senha (o perigo disso é que em esquecendo a tal senha a máquina teria que ser enviada à Apple para desbloqueio). Outra precaução é que as contas também dependem de senha tanto para carga do OS como até mesmo para acordar a máquina e alguns arquivos mais sensíveis ou trocas de e-mail são encriptados através do Keychain Access quando necessário. São pequenos procedimentos como esse que acabam tendo o mesmo efeito do FileVault e com a vantagem da resposta rápida por parte da máquina.
Quanto ao Firewall, se a memória não me falha, também era assim antes, mas no Leopard a Apple adotou um novo processo (resumidamente: “vigia” cada aplicativo aberto em vez do todo) e talvez por isso tenha optado (ou se esquecido) por não habilita-lo como padrão, mas como comentei antes, é um processo simples de fazer e só o “pokapratika” ou o recém-chegado não saberia disso caso não conhecesse o sistema e/ou não fizesse uma sondagem por sua conta (aí que entendo que a Apple andou abusando da sorte e, quem sabe, daqui por diante ela mude isso). O meu sempre esteve habilitado, inclusive no modo “invisível”.
De qualquer maneira, o Mac continua sendo uma boa opção e, penso que foi bom ter acontecido isso porque o Jobs já não dormirá tão tranqüilo como antes e vai tirar o “relho” do prego (não pensem que o homem seja bonzinho) para usar no lombo do programador que bobear novamente. ;)
Espero ter ajudado e, que mal pergunte, v. é português? Pergunto porque noto algo de diferente no seu texto.
teco, muito obrigado pela informação que me prestou. E já que pergunta, eu confirmo-lhe que sou português.;)
[...] brecha que permitiu que um MacBook Air fosse invadido durante a CanSecWest deste ano foi completamente fechada neste update. em Apple, Internet, [...]
[...] ano passado, Charlie Miller, pesquisador de segurança, ganhou US$10 mil por hackear um MacBook Air pelo Safari em menos de dois minutos. Para o concurso de 2009, ele continua achando que o navegador [...]