Jees, kannattaa Erkinkin harkita Vistaan siirtymistä =)

"Miller voitti vuosi sitten pidetyssä hakkerointikilpailussa 10 000 dollaria murtautumalla Maciin Safarin tietoturva-aukon kautta vain muutamassa minuutissa ja aikoo keskittyä Safarin murtamiseen myös tämän vuoden kilpailussa."

Muutamassa minuutissa? Hah... puolitotuuksia. Johan kyseinen hakkeri on kertonut että hänellä oli haavoittuvuudesta tiedot jo ennen koko kilpailua, hänen vain tarvitsi suorittaa hyökkäys ja saada ensimmäinen palkinto.

Kyseinen henkilöhän toimii tietoturva-alalla hakkerina ja on erikoistunut Mac OS X:ään. Tekee paljon tutkimuksia Mac OS X:stä ja lähettelee paljon "pätsejä" Applelle, aina muutaman viikon ennen niiden julkistamista jossain tilaisuuksissa kuten Black Hat conference.

Kyseiset kisat täytyisi tehdä siten että mitään heidän tuntemaa haavoittuvuutta ei saa käyttää. Ja vieläpä mieluiten kohteena olisi jokin mihin he eivät ole erikoistuneet. Tuoda haastetta siihen kilpailuun.

Onhan se nyt tyhmää kilpailla kuka on taidokkain etsimään ja hyväksikäyttämään haavoittuvuuksia jos ne tunnetaan etukäteen.

Onhan se ihan hyvä, että turvaukkoja löytyy ja saadaan ainakin sitten ne pois Safarista. Mutta musta tää kommentti kommentti kertoo kyllä aika paljon "Miller ennustaa Internet Explorer 8:n ja Firefoxin selviävän hakkerointiyrityksistä, hän pitää niiden hakkerointia liian työläänä tarjolla olevaan palkkioon nähden."

Ei siis haeta teknistä haastetta, vaan kylmää käteistä. No toisaalta ihan oikein. Jos omat taidot riittäisivät tuon tekemiseen, niin hakisin kyllä mielelläni 5000 dollaria pois. Mutta ehkäpä kilpailussa olisi viel kehittämistä, jotta saadaan myös IE/FF puolelle kovan tason ammattilaisia lisää yrittämään murtamista.

Raips sen sanoi. Eiköhän Millerillä ole taaskin jo valmiina joku löytämänsä haavoittuvuus.

Sillä tavalla jännää tämä, että puhetta kyllä riittää. Ja helppous on vähän toinen asia, kun on vuoden valmistellut. Olishan se noloa, kun suunniteltu hyökkäys ei toimisikaan, kun aukko on paikattu.

Verkossa esiintyy kyllä runsaasti IE:n aukkojen kautta tehtyjä murtoja, jonkin verran myös Firefox-murtoja, mutta Safarin murtoja ei. Ettei vaan olis teoria ja käytäntö kaksi eri asiaa.

On "ÿbernoloa", että ilmeisesti osaavat alan ihmiset kinastelevat mihin käyttikseen pääsee hakkeroitumaan jossakin tällaisessa kilpailussa ja millä keinoilla. Ikään kun olisi hirveästi väliä mikä käyttöjärjestelmä on kyseessä, kun vastassa on ammattilainen, joka tuntee kohteensa kun omat taskunsa. On aivan selvä, että mitä vähemmän happotestattu käyttis / selain on sitä helpompi siitä on löytää reikiä. IE on ollut ehkä ennen "by design" reikäinen, mutta sitä pommitetaan ja on pommitettu eniten ja sitä kautta paikkailtu paljon. Eri IE versiollakin on aika paljon eroja. Toiseksi eniten pommitetaan varmasti Firefox:ia joka on ollut jo perusteiltaan turvallisempi kun IE (tämä ero on varmasti tasoittunut). Se että Firefox:sta on löytynyt paljon aukkoja ja sitä on ahkerasti korjattu johtuu omalta osaltaa siitä, että Firefox on avointa koodia. Tässä pitäisi vertailla reikien hyväksikäyttöä ei niiden määrää. Reikiä on helpompi etsiä Firefox:n tapauksessa ihan koodista ken vain osaa. Mitä sitten tulee Safariin ja vaikka Operaan uskon, että niisä on eniten reikiä mitä vain ei ole löydetty (/etsitty), koska eivät ole vielä määrältään, niin kiinnostava kohde. Toinen oma lukunsa on käyttöjärjestelmä. Mikä tunnutaan unohtavan aina näistä uutisistä. Tehdäänkö testi Windows:n päällä ? Onko käyttäjä sisällä pääkäyttäjän tunnuksilla vai joillakin heikommilla "natsoilla" ? Jos ajaa vaikka Firefox:ia MAC:llä ei ole kyllä hitonkaan väliä vaikka samassa kombinaatiossa XP:n päällä, jossa käyttäjä on silällä admin tunnuksilla olisi jokin paha haavoittuvuus. Vaikka haavoittuvuus on käytännössä sama kaikilla alustoilla. Se voi olla täysin hyödytön / käyttökelvoton toisella alustalla tai pelkästään sillä, että käyttäjä on koneessa sisällä tunnuksella, jolla on heikot oikeudet koneeseen. Nämä haavoittuvuus uutiset ovat usein sensaatio hakuisia eivätkä mene kuvaamaan kyseistä haavoittuvuutta pintaa syvemmälle, koska tässä loppuu kompetenssi sekä toimittajalta, että 99 % lukijoista. Päälimmäiseksi jää vain kuva, että taas siinä ja siinä oli haavoittuvuus. Joskun olen itsekkin tutustunut vähän tarkemmin johonkin haavoittuvuuteen. Vaarat ovat monessa tapauksessa täysin teoreettisella ja todentamattomalla tasolla. Melko harvasta haavoittuvuudesta tulee yleisesti hyödynnety. Tämä vaati helppojen hyväksikäyttö menetelmien kehittämistä ja levittämistä (kaikkien saataville). Tämä taas kulkee käsi kädessä aukon kapallisen hyödyntämisen potenttiaalin kanssa.

Hyvä kommentti T. Levoniemeltä, mutta pakko näpäyttää sen verran, että voisi käyttää luonnollista kappalejakoa, niin se helpottaisi lukemista ja "rytmiä". )

Joo, ei tuollaista jööttiä jaksa lukea, varsinkaan mistään nettipalstalta.

Niinhyvinsanottuolensamaamieltäkuintekaikkimuutkinjotkaetteolesamaamieltä.