Mac: Gone in 2 Minutes
279 | 30 March 2008 - 02:13 น.
เห็นหัวข้อข่าวใน PCWorld นึกถึงภาพยนต์ที่ Nicolas Cage แสดง “Gone in 60 Seconds” เมื่อวันที่ 26-28 มีนาคม ที่ผ่านมา CanSecWest 2008 งานประชุมด้านความปลอดภัยประจำปีครั้งที่ 9 ในงานมีการแข่งขันแฮกระบบ PWN 2 OWN hacking contest ตั้งรางวัลไว้ 2 หมื่นดอลล่าห์สหรัฐ เงินรางวัลจะลดลงครึ่งหนึ่งในแต่ละวันที่ผ่านไป ระบบปฏิบัติการที่ถูกนำมาใช้แข่งขันในการเจาะ คือ 3 ระบบปฏิบัติการหลัก Mac OS X Windows Vista และ Linux
ในวันแรกของการแข่งขันซึ่งอนุญาตให้มีการเจาะระบบผ่านเครือข่ายเท่านั้น ไม่มีใครสามารถเจาะระบบใดได้เลย แต่ในวันพฤหัสถึงเป็นวันถัดมา มีการผ่อนปรนเงื่อนไข โดยอนุญาตให้สามารถใช้คอมพิวเตอร์ในการทำสิ่งอื่นได้ อย่างเช่น การเปิดเว็บไซต์หรือข้อความอีเมล
การแข่งขันในวันที่ 2 MacBook Air ถูกเจาะเป็นรายแรกด้วยเวลาเพียงสองนาที โดย Charlie Miller ซึ่งเป็นนักวิจัยคนแรกที่สามารถแฮก iPhone เมื่อปีที่แล้ว
Miller ใช้ Safari เพื่อเข้าเว็บไซต์ที่เขาใส่ exploit code ซึ่งยังไม่ถูกค้นพบไว้ และใช้ทั้งหมดเวลาเพียง 2 นาทีในการเข้าควบคุมเครื่องแบบเบ็ดเสร็จ exploit code ดังกล่าวเป็น Javascript ที่มีเป้าหมายอยู่ที่เว็บเบราว์เซอร์ Safari
ในวันที่สามซึ่งเป็นวันสุดท้ายของการแข่งขัน Windows Vista ถูกเจาะเป็นรายถัดมา โดย Shane Macaulay ซึ่งได้รับความช่วยเหลือจากเพื่อนอีกสองคน Alexander Sotirov และ Derek Callaway ทั้งนี้เพราะบักที่เตรียมมาไม่สามารถเจาะ Windows Vista ได้เนื่องจากในงานใช้ Windows Vista SP1 ซึ่งมีมาตรการด้านความปลอดภัยสูงกว่า
Macaulay เปิดเผยเพียงเล็กน้อยว่าช่องโหว่ที่ใช้เจาะนั้นเป็น cross-platform bug ซึ่งใช้ประโยชน์จาก Java ในการหลบเลี่ยงระบบความปลอดภัยของวิสต้า Macaulay เพิ่มเติมด้วยว่าช่องโหว่ดังกล่าวมีผลกับ Linux และ Mac OS X เช่นกัน
สำหรับลีนุกซ์นั้น กระทั่งวันสุดท้ายของการแข่งขัน ไม่มีใครสามารถเจาะระบบได้ จากข่าวไม่ได้ระบุว่าใช้ลีนุกซ์ค่ายใดในการแข่งขัน
ผมเรียบเรียงข่าวนี้มาให้อ่านเนื่องจากมีประเด็นที่น่าสนใจ ประเด็นที่ว่าไม่ใช่การตบหน้า Apple ที่ชอบคุยโม้โอ้อวดว่ามีความปลอดภัยสูง หรือความปลอดภัยของของเว็บเบราว์เซอร์รุ่นลูกเจี๊ยบอย่าง Safari แต่สิ่งที่ผมสนใจ คือ ปัญหาความปลอดภัยของระบบย้ายศูนย์กลางมาที่เว็บเบราว์เซอร์ และไม่ใช่ ActiveX ในยุคเก่าที่ได้รับผลกระทบเฉพาะ Internet Explorer แต่เป็น Java ที่ได้รับความนิยมอย่างสูงในหมู่นักพัฒนาเว็บไซต์
n-blue™ ในหมวด เก็บตก 
พิมพ์บทความ
พิมพ์บทความ
Mac: Gone in 2 Minutes โดนไป 6 ดอก
30 March 2008 เมื่อ 07:40
ว่าไปก็น่ากลัวเหมือนกันแฮะ ผมใช้ Firefox + NoScript บล๊อกสารพัดโค้ดทั้งหลาย ก็ยังพอทำเนา เลือกเปิดเฉพาะเวบที่เราไว้ใจได้
แต่ยังน่าภูมิใจแฮะ ลินุกซ์คนเก่งยังถือว่าเล่นเน็ตได้อย่างปลอดภัย น่าเสียดายที่ไม่ได้บอกว่าตัวไหน แต่ผมอนุมานเอาเองว่าคงให้ผลที่ใกล้เคียงกันทุกตัว เพราะยังไงเคอร์เนลมันก็เป็นหนึ่งเดียวอยู่แล้วนิ อิอิอิ
30 March 2008 เมื่อ 09:21
การแข่งขันนี้ Ubuntu ทนสุด แปลกดี นึกว่าจะโดนก่อน
Java มีหลาย platform แต่คนใช้น้อย. Flash ซิน่ากลัว. ใช้ของ Adobe กันหมดไม่รู้เขียนมาอย่างไรบ้าง.
Javascript (ไม่ใช่ java) ถึงจะเป็นรูให้เจาะก็จริง แต่ก็ไม่ใช่ว่า script เดียวจะเจาะได้ทุก platform. เพราะว่า implement แยกๆ กันมา. code ที่ใช้เจาะมันก็ไม่portable ด้วย.
30 March 2008 เมื่อ 10:29
Java หรือ JavaScript ครับ
ถ้า Java ก็สบายใจได้ ทุกวันนี้อแทบไม่มีใครลง jre กัน
1 April 2008 เมื่อ 09:28
MacBook โดน hack เพราะว่าเป็นปัญหาของ Java ที่ develop โดน Sun ไม่เกี่ยวกับ Apple
แต่ Vista ที่โดนเพราะเป็นปัญหาของ OS เอง
1 April 2008 เมื่อ 09:56
@uE~*
เข้าใจว่าคงไม่เข้าใจปัญหาจริงๆ นั่นแหละครับ
เรื่องนี้แค่ใช้ Java เป็นเครื่องมือ เจาะผ่านช่องโหว่ของ Safari ของ Apple แล้วสามารถเข้ายึดทั้งเครื่อง
Vista ถูกเจาะผ่าน Adobe Flash ครับ
7 April 2008 เมื่อ 07:18
อ่านข่าวแล้วงงๆ อะครับ สรุป windows โดนเจาะผ่าน flash ส่วน mac เกิดจาก safari แล้วมันเกี่ยวกับจาวาตรงไหน? ในเว็บบอกว่าเป็น 0day vulnerability(exploit) ของ safari ด้วย หรือว่าจริงๆ แล้ว safari เขียนด้วยจาวา หรือเว็บนั้นใช้ java apple/web start หรอฮะ