Hack a Mac contest renouvelé cette année à CanSecWest

[Frodon]

Une petite précision. J'ai lu sur un autre site que le hacker avait fait les choses suivante sur la machine:

- Création d'un compte admin
- Ouverture de Safari et pointage sur le site malicieux.

Donc ca ne suffit pas que l'utilisateur visite le(s) site(s) malicieux exploitant la faille, il faut également que le hacker ai un compte utilisateur (admin si possible) ou arrive à se procurer le mot de passe de l'utilisateur (ce qui peut se faire par un phishing si on considère qu'un certain nombre d'utilisateur utilise un seul et unique mot de passe pour tous leur comptes).

Ceci rend la faille moins évidente à exploiter, même si elle reste exploitable.

 

[huexley]

Une petite précision. J'ai lu sur un autre site que le hacker avait fait les choses suivante sur la machine:

- Création d'un compte admin
- Ouverture de Safari et pointage sur le site malicieux.

Donc ca ne suffit pas que l'utilisateur visite le(s) site(s) malicieux exploitant la faille, il faut également que le hacker ai un compte utilisateur (admin si possible) ou arrive à se procurer le mot de passe de l'utilisateur (ce qui peut se faire par un phishing si on considère qu'un certain nombre d'utilisateur utilise un seul et unique mot de passe pour tous leur comptes).

Ceci rend la faille moins évidente à exploiter, même si elle reste exploitable.

Le truc c'est que par défaut le premier compte crée sur Mac est administrateur, et que c'est celui que les particulier utilisent en permanence

 

[Alex666]

Le truc c'est que par défaut le premier compte crée sur Mac est administrateur, et que c'est celui que les particulier utilisent en permanence

et oui comme windows bien que maintenant tu as la possibilité a l'install de faire ton choix

linux tu restes peinard car en gros ta session n'est pas en root ( à vérifier sur une distrib comme ubuntu)


:zen:

 

[bompi]

Sur Ubuntu, c'est comme OS X, non ? Le compte fait partie des sudoers (groupe wheel). Ce qui revient à peu près au même.

 

[Alex666]

Le résumé de l'édition 2008


et le vainqueur est !?



Source GNT


CanSecWest : seul Linux aura résisté aux hackers


Lors du concours de hacking organisé dans le cadre de la conférence CanSecWest, Mac OS X et Vista ont rendu les armes. Linux avec Ubuntu a résisté aux attaques.

Le concours de hacking du CanSecWest organisé par la société Tipping Point (voir notre actualité) a pris fin. Trois jours durant (du 26 au 28 mars), trois ordinateurs portables intégrant trois OS différents à jour, à savoir Mac OS X 10.5.2, Windows Vista Ultimate SP1 et Ubuntu 7.10, ont subi les assauts de hackers motivés par la perspective d'une prime et d'une certaine notoriété.

A l'issue de la première journée, les machines ont résisté aux tentatives d'attaques à distance (attaques par le réseau) et les règles ont été assouplies via l'autorisation d'un accès physique aux ordinateurs par l'entremise des organisateurs (interaction utilisateur avec l'ouverture d'un site Web ou d'un courriel). Dès lors, le premier à baisser pavillon a été le MacBook Air suite à une attaque impliquant vraisemblablement une faille dans le navigateur Web Safari (plus de détails ici). Les machines sous Vista et Ubuntu sont quant à elles restées inviolées.


Windows Vista succombe à son tour
La troisième phase du concours a donc été décrétée, c'est-à-dire l'installation d'applications tierces sur les deux machines restantes comme Acrobat Reader et Flash Player d'Adobe, le navigateur Firefox et le logiciel de VoIP Skype. Pour le portable sous Windows Vista, c'est un trou de sécurité dans Flash Player qui lui a été fatal et ainsi, Shane Macaulay a remporté le Fujitsu U810 sous gouverne de Windows Vista Ultimate SP1 avec 5 000 dollars de prime.


Linux en vainqueur ?
Apparemment, le grand vainqueur est le VAIO VGN-TZ37CN intégrant la distribution Linux Ubuntu 7.10 qui a résisté aux attaques tout au long du concours. Pour autant, certaines voix, notamment du côté de Microsoft, s'élèvent pour dénoncer un certain manque de volonté de la part des participants qui ont bien découvert des trous de sécurité mais n'ont pas daigné mettre au point un exploit. De même, une polémique risque de naître quant à savoir si c'est le système d'exploitation Windows Vista qui est réellement vulnérable ou une autre application. A priori, la vulnérabilité utilisée pour mettre en échec Vista serait d'ailleurs cross-plateforme.

Devenues propriété de Tipping Point, les vulnérabilités découvertes ne seront pas publiées et les éditeurs concernés pourront les combler.


:zen: