Win/Mac/Linux侵入コンテストはMacBook Air陥落で終了、所要時間2分
セキュリティカンファレンスCanSecWestでおこなわれていた侵入コンテスト「PWN2OWN」は開催2日目にしてMacBook Airの陥落で終了、ハッカー / セキュリティコンサルタントCharlie Miller が賞金1万ドルおよび”PWN”したMacBook Airを獲得しました。
PWN2OWNはそれぞれLinux / Mac OS X / Windows Vistaがインストールされた三台のノートPCいずれかを狙い、内部のファイルを盗み取れば成功というハッキングコンテスト。勝者には賞金2万ドルおよ び陥落したノートが与えられます。ルールは少々変わっており、既知の手法ではなく未公開のいわゆる0DAYアタックを用いなければならないほか、1日目は ネットワーク経由のみ・ユーザーの操作なしという条件、成功者が現れない場合は2日目に主催者側がプリインストールソフトで通常の操作をおこなうといった ように少しずつ難度が下げられてゆく仕組みとなっています。賞金は一日経過ごとに半分に減額。
1日目はネットワークで進入オンリーで、ここで進入成功した方はいなかったそうです。
2日目はユーザー操作を追加できるらしい。しかも、Macはたった2分で落ちたそうな…。
PWN 2 OWNハッキングコンテストはVistaも陥落、残ったのはLinux
MacBook Air / Mac OS Xが2分でファイルを盗まれたPWN 2 OWNの続報をお届けします。MacBook Airが陥落した2日目は残るWindows Vista ・ Linuxともに持ちこたえたものの、さらに条件が緩和された3日目にはVistaがFlashを使った攻撃で侵入を許し、最後まで残ったのは Ubuntuという結果になりました。
コンテストの課題はそれぞれWindows Vista / Mac OS X / Linux (Ubuntu)をインストールした3台のノートPCいずれかから目標のファイルを読み取ること、条件は一日目がリモートからの攻撃のみ・ユーザー操作な し、2日目がデフォルトインストールされたソフトの操作(たとえばブラウザでリンクを開く)、3日目は操作アプリを一般的なサードパーティーソフトまで広 げるというもの。MacBook Airは2日目に「Safariで指定のurlを開く」ユーザー操作により陥落していました。
で、とうとうWindowsも落ちましたと。
そんで、Linuxが鉄壁なようですね…。
これを見ると、どのOSもネットワーク経由のアクセスは十分な対策が得られているというわけですね。
そしてMacはユーザーのうっかりに対応するのが苦手で、
Windowsはサードパティ製ソフトがアホなのが多いと…。
しかし、今回はFlashの0day らしい。ということは、ほかのOSでも起こりうる可能性があるのか…。
Windows>ユーザーが多いため、多くの脆弱性が見つかる。そのためアホOSのように思われるが、
実は一番穴が少ないのかもしれないが、潰しても新しい穴が出てくるのでなんとも…。
MacOS>ユーザーが少ないのでまだ多くの脆弱性が潜んでいる可能性がある。
しかし、ユーザーが少ないから穴も見つかりにくい、そして攻撃する側も多くない。ただ、昨今のMac人気でユーザーも増えてきたのでそろそろ本気で考えないといけない
Linux>ユーザーもある程度いるし、クリティカルな部分で使われることが多い。しかも開発者も1社ではないのでかなりの量の脆弱性が見つかっては潰されてまた発生する。
しかし、柔軟に対応できるし、柔軟なOSなので設定を1箇所でも間違うと大変なことになる
こんな感じ?
まぁ、そのOS使っていても油断は禁物というわけです。
Linuxが破られる日が来るのはいつだろう…。
Leave a Reply