Vista, MacBook bị loại – Chỉ có Linux còn ở lại trong cuộc thi về an ninh máy tính

Với việc Vista bị hack vào ngày thứ sáu, máy tính xách tay Linux còn nguyên không bị hại gì tại cuộc thi hack (tấn công) các máy tính của CanSecWest PWN 2 OWN

With Vista hacked Friday, a Linux laptop remained uncompromised at the CanSecWest PWN 2 OWN hacking contest.

Robert McMillan, IDG News Service

Saturday, March 29, 2008 5:00 AM PDT

Lời người dịch: Thông tin chi tiết hơn về cuộc thi hack các máy tính chạy Mac OS X, Windows Vista và Linux Ubuntu.

Theo: http://www.pcworld.com/article/id,143962-pg,1/article.html

Bài được đưa lên Internet ngày: 29/03/2008

Máy cài MacBook Air ra đi đầu tiên; một máy tính xách tay Fujitsu chạy Vista đã bị hack vào ngày cuối của cuộc thi; nhưng máy chạy Linux, trên một chiếc Sony Vaio, đã còn nguyên không bị tổn hại khi những nhà tổ chức hội nghị kết thúc thử thách hack các máy tính theo 3 cách vào ngày thứ sáu tại hội nghị về an ninh CanSecWest.

Đầu tuần này, những nhà tài trợ cuộc thi đã để 3 chiếc máy tính xách tay để cho bất kỳ ai có thể hack vào trong các hệ thống và chạy được phần mềm của riêng họ. Một phần thưởng tiền mặt 20,000 USD được trao, nhưng số tiền sẽ chia đôi sau mỗi ngày khi mà luật lệ của cuộc thi đã được nới lỏng và nó trở nên dễ dàng hơn để thâm nhập các máy tính.

Vào ngày thứ 2, C-harlie Miller của đội các nhà đánh giá an ninh độc lập (Independent Security Evaluators) đã chiếm được máy Mac sau khi đập nó bằng việc khai thác điểm yếu còn chưa được công bố trong trình duyệt Web Safari. Sau khoảng 2 phút làm việc, ngày thứ năm, Miller đã mang được về nhà 10,000 USD, nhờ vào đội TippingPoint của 3Com, bổ sung cho máy tính xách tay mới của anh ta.

Đã qua 2 ngày làm việc, và Shane Macaulay, cuối cùng đã phá được máy Vista vào thứ sáu, bằng sự trợ giúp từ những người bạn của anh ta.

The MacBook Air went first; a tiny Fujitsu laptop running Vista was hacked on the last day of the contest; but it was Linux, running on a Sony Vaio, that remained undefeated as conference organizers ended a three-way computer hacking challenge Friday at the CanSecWest conference.

Earlier this week, contest sponsors had put three laptops up for grabs to anyone who could hack into one of the systems and run their own software. A US$20,000 cash prize sweetened the deal, but the payout was halved each day as contest rules were relaxed and it became easier to penetrate the computers.

On day two, Independent Security Evaluators' C-harlie Miller took the Mac after hitting it with a still-undisclosed exploit that targeted the Safari Web browser. After about two minutes work, Thursday, Miller took home $10,000, courtesy of 3Com's TippingPoint division, in addition to his new laptop.

It took two days of work, but Shane Macaulay, finally cracked the Vista box on Friday, with a little help f-rom his friends.

Macaulay, người đồng chiến thắng trong cuộc thi hack vào năm ngoái, đã cần một chút mẹo hack của nhà nghiên cứu về VMware là Alexander Sotirov để làm cho con bọ của anh ta làm việc. Đó là vì Macaulay đã không dự kiến tấn công phiên bản Vista Service Pack 1, mà nó đi cùng với các biện pháp an ninh bổ sung. Anh ta cũng có được một chút trợ giúp từ người cùng làm là Derek Callaway.

Theo các luật lệ của cuộc thi, Macaulay và Miller sẽ không được phép tiết lộ các chi tiết cụ thể về các lỗi của chúng cho tới khi chúng được vá, nhưng Macaulay đã nói chỗ khiếm khuyết mà anh ta đã khai thác là một lỗi đa nền tảng mà nó lợi dụng Java để làm hỏng an ninh của Vista.

“Chỗ hỏng còn có trong vài thứ nữa, nhưng bản tính vốn có của Java đã cho phép chúng tôi tới gần được những chỗ bảo vệ mà Microsoft có”, anh ta nói trong một cuộc phỏng vấn ngay sau khi được trao giải vào thứ sáu. “Điều này có thể ảnh hưởng tới Linux hoặc Mac OS X”.

Macaulay nói anh ta chọn làm việc trên Vista vì anh ta đã từng làm việc theo hợp đồng cho Microsoft trong quá khứ và quen hơn với các sản phẩm của hãng.

Macaulay, who was a co-winner of last year's hacking contest, needed a few hacking tricks courtesy of VMware researcher Alexander Sotirov to make his bug work. That's because Macaulay hadn't been expecting to attack the Service Pack 1 version of Vista, which comes with additional security measures. He also got a little help f-rom co-worker Derek Callaway.

Under contest rules, Macaulay and Miller aren't allowed to divulge specific details about their bugs until they are patched, but Macaulay said the flaw that he exploited was a cross-platform bug that took advantage of Java to circumvent Vista's security.

"The flaw is in something else, but the inherent nature of Java allowed us to get around the protections that Microsoft had in place," he said in an interview shortly after he claimed his prize Friday. "This could affect Linux or Mac OS X."

Macaulay said he chose to work on Vista because he had done contract work for Microsoft in the past and was more familiar with its products.

Mặc dù một vài người tham dự đã cố gắng phá máy Linux, không ai có thể phá được nó, Terri Forslof, một giám đốc về an ninh nói khi trả lời cho TippingPoint. “Tôi đã ngạc nhiên rằng nó đã không được”, chị ta nói.

Một vài người trong số 400 người tham dự đã thấy những lỗi trong hệ điều hành Linux, chị ta nói, nhưng nhiều người trong số họ đã không muốn đặt công việc vào việc khai phá mã nguồn mà cần phải là thắng được cuộc thi.

Earlier, Miller nói rằng anh ta đã chọn hack máy Mac vì anh ta nghĩ nó có thể là cái đích dễ nhất. Macaulay, người hack được Vista đã không tranh luận khẳng định đó: “Tôi nghĩ có thể”, anh ta nói.

Although several attendees tried to crack the Linux box, nobody could pull it off, said Terri Forslof, a manager of security response with TippingPoint. "I was surprised that it didn't go," she said.

Some of the show's 400 attendees had found bugs in the Linux operating system, she said, but many of them didn't want to put the work into developing the exploit code that would be required to win the contest.

Earlier, Miller said that he chose to hack the Mac because he thought it would be easiest target. Vista hacker Macaulay didn't dispute that assertion: "I think it might be," he said.

Dịch tài liệu: Lê Trung Nghĩa

ltnghia@yahoo.com