Lue uutinen mobiilisivustolla

Mac-tietomurtokilpailu suututti ja sai seuraa

"Gwerdna" kertoi ZDnet Australialle, että kuvan Mac Mini -koneeseen tunkeutumiseen kului aikaa 20 - 30 minuuttia.

7.3.2006 08:58 Rm-my-mac-kilpailu ja siitä kertova uutisointi on saanut Mac-harrastajat takajaloilleen. Wisconsinin yliopiston "senior Apple systems engineer" pisti pystyyn uuden tietomurtokilpailun, jossa murto pitää tehdä ilman käyttäjätiliä kohdekoneessa.

Wisconsinin yliopiston Apple-järjestelmäasiantuntija Dave Schroeder kertoo sivuillaan järjestävänsä uuden kilpailun, koska ensimmäinen Mac-tietomurtokisa oli liian helppo ja siitä kertoneet uutiset puutteellisia. Kuudessa tunnissa rm-my-mac-kilpailun alun jälkeen murrettu Mac Mini ylitti uutiskynnyksen useissa tietotekniikka-alan uutispalveluissa maanantaina.

Myös digitoday kertoi maanantaina murtokilpailusta, jossa osallistujille annettiin mahdollisuus luoda käyttäjätili kohdekoneeseen. Järjestäjä kehotti osallistujia hankkimaan root-oikeudet ja poistamaan koneesta tiedostoja.

Shell-tili helpotti Schroederin mielestä tehtävää liikaa, koska root-oikeuksien hankkiminen ei edellyttänyt etäältä hyödynnettävän haavoittuvuuden tai heikkouden käyttämistä vaan pelkästään käyttöoikeuksien korottamista paikallisen haavoittuvuuden avulla.

- Sitä konetta ei hakkeroitu ulkopuolelta vain siksi, että se oli internetissä. Sen hakkeroi sisäpuolelta joku, jolle oli annettu paikallinen tili koneeseen. Siinä on iso ero, kirjoittaa Schroeder, jonka mukaan tämä ei käynyt ilmi useimmista asiaa käsitelleistä uutisista.

Schroederin tietoturvahaasteessa murtautujan pitää tehdä muutoksia kilpailusivustolle, jota pyörittää jälleen Mac OS X Tiger -käyttöjärjestelmällä varustettu Mac Mini. Koneessa on avoinna ssh-palvelu ja käytössä Apache-http-palvelinohjelmisto. Schroeder huomauttaa, että sekin on paljon enemmän kuin tavallisen Mac-käyttäjän koneessa.

Schroeder lupaa raportoida murrossa käytetyn haavoittuvuuden Applelle tai haavoittuvan ohjelmiston valmistajalle.

Gwerdna = Andrew G?

Rm-my-mac-kilpailun ensimmäisen murtomiehen, joka esiintyi nimimerkillä gwerdna (andrewg takaperin), huhutaan olevan tietoturvatutkija Andrew Griffiths. Hänen kotisivuiltaan felinemenace.org löytyy muun muassa kuva rm-my-mac-sivusta helmikuun 22. päivältä, jolloin kilpailusivu sotkettiin.

Kilpailun lokien mukaan andrewg-niminen käyttäjä yrittää murtaa konetta edelleen: "Mar 7 02:43:23 rm-my-Mac sshd[10145]: error: PAM: Authentication failure for andrewg from felinemenace.org"

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Nuori mies hyppäsi mereen Naantalissa ja katosi