Nuo 2007 metų konferencijos CanSecWest metu vyksta konkursas “PWN to 0WN”. Šiemet konkursas vyko antrą kartą. Visas veiksmas vyksta tris dienas, o jo metu saugumo analizei pateikiami 3 nešiojami kompiuteriai su standartinėm OS instaliacijomis ir visais atnaujinimais. Šiemet konkurse dalyvavo:

• Sony VAIO VGN-TZ37CN su Ubuntu 7.10
• Fujitsu U810 su Vista Ultimate SP1
• MacBook Air su OSX 10.5.2

Konkurso tikslas - išlaužti kurią nors sistemą. Tačiau tam egzistuoja kelios taisyklės. Kadangi konkurso trukmė yra trys dienos, tai pirmąją dieną galima išnaudoti tik nuotolinius pažeidžiamumus be jokių įsikišimų iš sistemų vartotojų. T.y. tiesiog tinkle yra įjungtos šios trys sistemos ir tikslas yra surasti jose rimtus pažeidžiamumus. Pirmam tai padariusiam atitektų išlaužtas kompiuteris ir 20 000 USD piniginis prizas. Antrąją dieną sąlygos šiek tiek keičiasi. Jau galima išnaudoti ne tik nuotolinius pažeidžiamumus, bet ir standartinių klientinės dalies aplikacijų pažeidžiamumus (pvz. paspausti el. paštu atėjusią nuorodą, nueiti į kokį nors tinklalapį ar pasinaudoti pokalbių programa). Pirmam tai padariusiam antrąją dieną atitektų išlaužtas kompiuteris ir 10 000 USD piniginis prizas. Trečiąją dieną sąlygos dar palengvėja. Dabar jau galima diegti į sistemas populiarias trečiųjų šalių aplikacijas. Žinoma, mažėja ir prizas. Trečią dieną laimėti galima išlaužtą kompiuterį ir 5000 USD piniginį prizą. Vienu metu viena komanda gali dirbti tik su viena sistema. Sistemos keičiasi kas tam tikrą laiko tarpą.

Skaityti visą įrašą…

Kol Lietuvos BLOG’eriai niekaip nesutaria už ką balsuojama sąžiningai, o už ką ne BLOGin 2008 konkurse (yra ten ir mano BLOG’as, galit savo balsą atiduot jei manot, kad to esu vertas), tai mano skelbtas konkursas praėjo visai normaliai ir be jokių įtarinėjimų. Pažiūrėkim į jo rezultatus. Įrašas buvo paskelbtas 13:08, o pirmas komentaras apie tai, kad prie pašto dėžutės prisijungti pavyko pasirodė 13:45. Kažko panašaus ir tikėjausi, bet visiškai nesitikėjau, kad pirmoji tai atlikusi bus 12 metų panelė Ramintė. Komentaruose taip pat prasidėjo diskusija saugumo tai probema ar ne. Vieniems atrodė taip, kitiems kitaip. Bet iki to prieisiu kiek vėliau. Dabar apie sprendimą. Pats konkursas sakė, kad prisijungimui prie pašto dėžutės nereikalingos techninės žinios. Vadinasi reikėjo ieškoti loginių sistemos autorių klaidų. Daugelis iš karto pasirinko slaptažodžio priminimo funkciją ir pasirinko teisingai. Pirmame priminimo etape prašomas prisijungimo vardas, kuris sutampa su el. pašto dėžutės pavadinimu. Čia niekam sunkumų nekilo. Sekantis reikalingas parametras buvo mano gimimo diena. Ją buvo nesunku rasti BLOG’o aprašyme apie mane. Lygiai taip pat šį parametrą nesunku rasti ir kitur, pvz. peržiūrėjus detalesnę informaciją apie žmogų per Skype. Tad šį žingsnį, net ir nepažįstantys manęs, dauguma įveikė sėkmingai. Atsakymą pateikiu.

Skaityti visą įrašą…

Turėjau BLOG‘ui paruošęs kelias temas, bet niekaip
neprisėsdavau jų parašyti. Tačiau šiandien internete pamačiau štai tokią
reklamą:

Nagai iš karto panižo. Po kelių minučių jau turėjau ir naują temą. Be technologinių trūkumų ten yra ir šio BLOG‘o skaitytojams įveikiamų trūkumų. Jau anksčiau rašiau, kad įsilaužėliui svarbu išmanyti ne tik technologijas, bet ir žmones. Juk problemos kyla ne dėl technologijų, o dėl jas kuriančių žmonių. Šiuo atveju inbox.lt turi paprastą saugumo trūkumą, kuriam išnaudoti visiškai nereikia technologinių žinių, pakanka trupučio logikos ir savos galvos. O jeigu dar pažįsti ir patį inbox.lt dėžutės turėtoją, tai užduotis gali būti ir visai paprasta. Todėl pirmą kartą šiame BLOG‘e skelbiu konkursą. Konkursą be prizo. Tiesiog dėl linksmumo.

Skaityti visą įrašą…