Vilma
-7 °C
4 °C

Megtörték a PitBullt

2001.04.03. 11:29
Kapcsolódó cikkek (2)
A verseny, amelyet az Argus indított PitBull nevű biztonsági rendszerének feltörésére, márciusban újabb kört futott a CeBIT-en. Ezúttal egyvalaki sikeresen bejutott a védett szerverre, a négyezer márkás fődíjat azonban nem kaphatja meg.
Ha valaki egy számítógépbiztonsági szoftvert fejleszt és másokkal is szeretné megosztani azt a meggyőződését, hogy az tökéletesen törhetetlen, akkor kézenfekvő, hogy úgy tesz, mint az Argus, amely biztonsági csúcsszoftverét, a PitBullt tette próbára az eWeek magazin harmadik OpenHack versenyén.

Áprilisi defacek
A bolondok napját harmincegy Windows NT és 2000 platformon futó webszerver feltörésével ünnepelték a hackerek. Az áldozatok között volt a Walt Disney, a Wall Street Journel WebWatch nevű oldala, a British Telecom, az amerikai hadsereg kiképzőközpontjának, illetve az amerikai haditengerészet taktikai rendszerszervező központjának honlapja is.
A januári verseny során egy négy szerverből álló rendszert kellett volna feltörniük a hackereknek. A négy szerverből álló rendszer egy átlagos elektronikus üzletet modellezett. A központi szerver Solaris 7-es operációs rendszerrel futott, akárcsak a webhost szerver, a DNS- és e-mail kiszolgáló egy RedHat Linux 6.2-esen futó szerver, a gyenge birka pedig az ismeretlen, ám népszerű webszerver szoftvert futtató e-commerce szerver volt. A szervereket tűzfal, és a PitBull LX, illetve a PitBull .com biztonsági szoftvere választotta el egymástól.

A hackerek feladata az volt, hogy a szerverre bejutva a root-jogok birtokában egy hack.txt nevű fájlt helyezzenek el a root könyvtárban. Ezért kétezer márka ütötte volna a sikeres törő markát - a jelentkezésért pedig újabb kétezer. Továbbá százezer márkás fődíj ütötte volna annak a markát, aki mind a négy szervert a hatalmába keríti.

Az Argus pénzét azonban senki sem tudta megkaparintani. Bár a scriptes suttyózást jóelőre kizárták a versenyből, a verseny egy hónapja alatt a szerverek folyamatosan DoS-támadás alatt álltak. Tizenhét nap alatt negyvenezren próbálkoztak a szervereken, összesen 5,4 millió alkalommal. Senki sem jutott be.

Kivétel

Az Argus boldog rendszermérnökei ezután úgy gondolták, hogy a CeBIT-en (van-e jobb módja, hogy sztárrá legyenek egy biztonságot erősen tematizáló nemzetközi számítástechnikai kiállításon?) változatlan körülmények között újra meghirdetik a versenyt. Ezúttal azonban bejutott valaki - de csak a meccs lefújása után.

Bladez, az első hacker, aki átjutott a PitBull védvonalain, a DNS-gép egyik ismert biztonsági hibáját használta ki. A hacker ráállt a szerverre és megpróbált rendszeradminisztrátorként bejelentkezni. Húsz órával később a szerver végül beeresztette - a verseny azonban ekkor már négy órája lezárult.

Vesztett
Bladez, aki saját elmondása szerint tíz éve foglalkozik hackeléssel, egyedül dolgozott, de megköszönte azok segítségét, akik korábbi próbálkozásaik során különböző biztonsági réseket fedtek fel az OpenHacknál alkalmazott operációs rendszerekben.

Az Argus végül a határidő lejártára hivatkozva megtagadta a nyeremény kifizetését. "Órákon keresztül maceráltak az IRC-n. Azután azokkal beszéltem, akiket azzal bíztak meg, hogy derítsék ki, hogy történt a dolog. Nekik elmondtam. Azt is elmondtam, hogy mennyire csalódott vagyok a díj miatt, és megkérdeztem, hogy kiírják-e a nevem a sajtóközleményben" - mondta Bladez.

"Bár Bladez nem nyerte meg a versenyt, és így nem kaphatja meg a díjat, azt mi sem tagadjuk, hogy rendkívül okos, ügyes és tehetséges" - mondta Randy Sandone, az Argus vezérigazgatója a Wirednek. Az Argus azért a díj anyagi ellenértékénél többet érő munkahelyet ajánlott Bladeznek. A pénznél azonban itt többről van szó, és ezen az Argus is el fog gondolkozni, amennyiben továbbra is azt szeretnék, hogy az övék legyen a világ legjobb infobiztonsági szoftvere.

A PitBull törhetetlenségét hirdető közleményt a CeBIT végeztével azonban nem adták ki. A hacker szíve meg vérzik valahol, mint egy füstölgő cigarettavég, és ez még sok baj forrása lehet.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Egzotikus élmények!

Amiről eddig álmodni sem mert. Luxus nyaralás, a világ legcsodálatosabb tengerpartjain.