A finales de mes en la Conferencia de seguridad CanSecWest, que se celebrará en Vancouver, van a realizar un concurso de seguridad (Pwn2Own) para comprobar qué sistema es más fácil de hackear. El premio serán 25.000 dólares y no será válido usar fallos ya reportados.

Este año el concurso constará de 3 equipos corriendo cada uno un sistema operativo: Fujitsu U810 con Vista Ultimate, un Vaio VGN-TZ37Cn con Ubuntu 7.10 y un MacBook Air con Leopard. Ganará el primero que pueda correr código de manera remota en uno de ellos se llevará el portátil y entrará en la lista de gente que recibirá parte de los 25.000 dólares que ofrece TippingPoint por avisar de fallos y vulnerabilidades de software.


http://www.geeksaresexy.net/wp-content/uploads/2007/04/cansecwest.jpg

El año pasado la prueba se realizó con dos MacBook Pro y el gurú de la seguridad Dino Dai Zovi tardó menos de 12 horas en hacer uso de una nueva vulnerabilidad de Quicktime para poder obtener el control total del portátil por vía remota.

Para ver qué sucede este año tendremos que esperar hasta el día 26 que es cuando empieza la Conferencia.

Enlaces:
http://www.theregister.co.uk/2008/03/19/pwn2own_contest_returns/
http://cansecwest.com/

pues.. la riña está en ubuntu (gusty gibon) y leopard.

Y si tuviera que apostar algo, creo que más facil va a ser ubuntu :-/ desgraciadamente..

No pongas la mano en el fuego Cyp, segun Dino Dai Zovi, Windows Vista podria ser mas dificil de hackear que Mac OS X si se aplicasen bien los parches...

http://www.opensecurity.es/windows-vista-es-mas-seguro-que-mac-os-x-dino-dai-zovi/

Lo se, a mi tambien me dejo sorprendido.

Un saludo

Está claro que microsofŧ ha contratado a un crack, que es quien ha diseñado el Microsoft’s Security Development Lifecycle, pero la verdad, dudo mucho que sea así, lo que pasa es que este Dino vive de descubrir vulnerabilidades en Mac OS X, y está especializado en ello.

Al mismo tiempo, Mac OS X es una tecnología mucho más madura que Vista, por lo que a pesar de que en las condiciones del concurso se estipula como prohibido el uso de vulnerabilidades ya conocidas, esto sólo se aplica evidentemente a vulnerabilidades _pulicadas_, pero ¿cuántos 0_day puede tener Dino en su haber y que no haya publicado?

Con esa posición de ventaja podría ganar fácilmente el concurso y además dejar patente que "Vista es más seguro" sin ni tan siquiera sacrificar sus mejors 0_day, sino sólo aquellos que decida él.

No creo, ni de lejos, que Vista sea más seguro que Leopard, pero sí que juega con ventaja porque como estamos ya acostumbrados, se trata de una beta cuyos betatesters son los mismos usuarios finales. Una mala treta por parte del ya conocido microsofŧ


PD: Yo pienso igualque cypress, para mí el más débil de los contrincantes es, sin lugar a dudas, Ubuntu.
Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

Lo raro es que jueguen los mejores contra (no os ofendais) una de las distros mas "simples" de Linux, ya se que esta muy bien y todo lo que querais, pero un Debian bien configurado es chungo de saltar, y es una de las mejores (si no la mejor) distros de Linux.

Como bien dices j8, seguramente Dino se guarde una buena baraja toda de ASES en la manga, asi que la cosa es:

Quien de los dos (Apple o Microsoft) va a pagar mas??

Me explico, a Microsoft seguro le encantara estar por delante de Apple por una vez en su vida, asi que es bastante posible que "donen;)" una pequeña cantidad al señor Dino para que diga "Vista Rocks" en lugar de "Mac OS X ha vapuleado a Vista como si de una niñita de 7 años se tratase"

A nadie le gusta ver que su SO es una mierda (y Microsoft lleva unas cuantas en esto:D:D)


Un saludo

Me explico, a Microsoft seguro le encantara estar por delante de Apple por una vez en su vida, asi que es bastante posible que "donen" una pequeña cantidad al señor Dino para que diga "Vista Rocks" en lugar de "Mac OS X ha vapuleado a Vista como si de una niñita de 7 años se tratase"muhahhahahahaha

Pero bueno, si hacen eso de donar, el concurso estará amañado, y si el concurso está amañado, ¿qué mierda de concurso es este?...

Ah, y j8, ¿por qué tachas las "t" de "microsoft"?

RaidMan, creo que has dado en el clavo.

Con respecto a tu pregunta,

Quien de los dos (Apple o Microsoft) va a pagar mas??
Aún no lo sé con certeza. Viendo la especialidad de Dino, sospecho que es Vista quien paga más, pero no el único.

En este concurso no hay un ganador, sino un perdedor (y no dos como cabría pensar).

Evidentemente Ubuntu ya ha ganado de sobra sólo por estar ahí con los otros. Todos sabemos que no tiene nada que hacer ahí. Como bien dices, una debian, una gentoo, o cualquier linux from scratch le da cien patadas.

Y el otro ganador, qué decir. El que salga como ganador oficial. Si es Vista, está claro que Apple es el acorralado en esta historia.

Personalmente sospecho que éste es el caso, por dos motivos principalmente:

a) Microsofŧ siempre paga en vez de desarrollar buen software
b) Apple suele dedicar su esfuerzo a crear hardware especializado en vez de anuncios de hombrecillos vestidos de papel de aluminio

Pero nunca se sabe, es un juego de tramposos.


La pregunta del millón para mí es otra:

¿Qué pretende Mark Shuttleworth cuando gasta tanto dinero en su criatura? Todavía recuerdo su grito de "amantes de la libertad" en la II Conferencia de Software Libre.

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

muhahhahahahaha

Pero bueno, si hacen eso de donar, el concurso estará amañado, y si el concurso está amañado, ¿qué mierda de concurso es este?...



Nost, el concurso solo es una excusa para determinar, por un conocido analista de seguridad en sistemas, cual de los dos es mas seguro (esta claro que MAC OS X barre el suelo con la cara de Vista) pero aunque no lo creas aun hay gente convencida de que "Vista es de lo mejorcito que ha sacado Microsoft"

Es solo una excusa para poder vender mas. El que gane va a subir en ventas como la espuma en una fiesta de la cerveza servida por un escalciador de sidra. (Vaya mierda de comparacion que me he marcado:D:D pero esta claro, no?)

Lo dicho, quien pagara mas? En mi opinion va a ser Microsoft, siempre ha sido, como ha dicho J8, de los de pagar para tapar la mierda que dejan tras su paso, MAC sabra como recuperarse, y ademas, los que hemos tenido la suerte de probar MAC sabemos de sobra que podemos limpiarnos el culo con Vista (http://foro.hackhispano.com/showthread.php?t=30004) si tenemos Linux o MAC a la... Vista:D


Como bien dices, J8, Linux deberia mantenerse al margen de esta polemica, ya que siempre va a salir perdiendo. Por debajo de MAC y por encima de Vista.

Yo cada vez lo veo mas claro:

Nadie mete dinero en algo sin esperar nada a cambio. Y me explico, Ubuntu cada vez es mas sencillo de usar, cada vez seria mas sencillo ponerlo en los PC que se venden como si de Windows se tratase, por si todavia no se entiende, Ubuntu, a mi modo de ver, tiene pinta de ir por la via de Red Hat, y pasar a ser un proyecto por el cual hay que pagar.

Repito que es a mi modo de ver, que los amantes de Ubuntu no se escandalicen. Pero la verdad es obvia, nadie da sin esperar nada a cambio. Mark Shuttleworth seguro que no penso en "voy a dar pasta al proyecto de Linux Ubuntu y a ver que pasa..." NO, algo tiene que sacar el, aparte de publicidad.


Un saludo

pues... están alabando mucho a OS X, y la verdad que leopard, no ha sido la continuación de Tigger,

Leopard fue lanzado muy rapidamente, y a pasar de sus 300 mejoras, han largado actualizaciones que generan cuelgues del sistema (http://hackingrioplatense.com.ar/foro/index.php?topic=494.0).
En Leopard han 'revivido' bugs antiguos (http://hackingrioplatense.com.ar/foro/index.php?topic=413.0) que fueron parcheados en tigger.
El firewall de leopard, viene en su defecto desactivado, - incluso si lo tenias activado en tigger, te lo desactiva -
En una politca de "bloquear todas las conexiones " el firewall no lo hace.



$ sudo lsof -i udp
COMMAND PID USER NODE NAME
mDNSRespo 37 _mdnsresponder UDP *:mdns
ntpd 46 root UDP *:ntp
nmbd 685 root UDP *:netbios-ns
nmbd 685 root UDP *:netbios-dgm


Analisis del firewall de Leopard (http://www.heise-online.co.uk/security/A-second-look-at-the-Mac-OS-X-Leopard-firewall--/features/98120/0)

Incluso Oliver Rist en PC Magazine, dijo " Leopard es Vista "
Leopard no es ni la mitad de Tigger, y por eso mis fichas están entre leopard y ubuntu :-/

Saludos,
Cypress

Como bien dices, J8, Linux deberia mantenerse al margen de esta polemica, ya que siempre va a salir perdiendo. Por debajo de MAC y por encima de Vista.
Yo también estoy de acuerdo con esto... aun así creo que el primero en caer será el OSX, por un motivo muy simple, porque sucederá lo mismo que sucedio el año pasado, alguién usará una de las vulneravilidades de las aplicaciones normalmente instaladas con el Leopard (el año pasado fue el QuickTime) y es que las aplicaciones para OSX son una fuente inagotable de bugs... casi todas las fallas de seguridad (y casi la totalidad de las graves) se deben al QuickTime (su conceción de navaja suiza lo hace tremendamente vulnerable), ilife y muchas otras aplicaciones muy usuales en cualquier Mac, como pueden ser el SuffIt...

Además lo comentado, estos eventos crean mucha espectación, con lo que ello implica, muchos pondrán mucho dinero por salir bien parados (MS es bien conocida por "pagar" por quedar bien en tests)...


pues... están alabando mucho a OS X, y la verdad que leopard, no ha sido la continuación de Tigger,

Leopard fue lanzado muy rapidamente, y a pasar de sus 300 mejoras, han largado actualizaciones que generan cuelgues del sistema.
En Leopard han 'revivido' bugs antiguos que fueron parcheados en tigger.
El Tigger era una maravilla, el Leopard también, pero Apple tiene un problema, aunque es una gran empresa tiene el problema de que tiene muchos productos y sus recursos son limitados (un ejemplo es que tiene aproximadamente la misma cantidad de programadores que tiene Adobe, pero con la diferencia de que Apple no solo desarrolla aplicaciones, también SO, drivers...) y si pones muchos programadores para que desarrollen tal o cual nueva característica (el Time Machine es la leche, otros SO tardaran años en tener algo equivalente) pues te quedan pocos recursos para depurar el trabajo final... y en esta ocasión Apple se centro en nuevas características y no tanto en mantener el liston tan alto como lo había puesto el Tigger... ello no quiere decir que el Leopard sea mal SO, sin duda es el mejor SO sobre la tierra, pero se ha sacrificado una buena parte de la seguridad y robusted de sus predecesores en favor de agregar nuevas características... Y esto es algo muy peligroso cuando lo combinas con un diseño pensado para que cualquiera sin ni puta idea de informática pueda usarlo...

Por otro lado hay que decir que Vista por ahora casi no llamo la atención de los que suelen jugar a esto, todo lo contrario que Leopard que últimamente despierta una atención desproporcionada comparada con su parquet de usuarios... en este punto Linux sale mucho mejor parado, ya que desde hace unos años pocos se interesan por buscar fallas de seguridad importantes para usarlas para "jugar", en su lugar lo usual es que si detectas una falla la remitas para que la soluciones...

Un Saludo