Home » Blogs » pote_exr's blog

งาน CanSecWest ที่สหรัฐอเมริกา

5. May 2008 - 13:11 — pote_exr


งานประชุม CanSecWest นี้จัดขึ้นเมื่อปลายสัปดาห์ที่ผ่านมาโดยมีบริษัท TippingPoint ในเครือ 3Com เป็นผู้สนับสนุนหลัก การแข่งขันเจาะระบบจัดขึ้นโดยทีมงานจัดหาคอมพิวเตอร์โน้ตบุ๊ก 3 เครื่องซึ่งมีระบบปฏิบัติการคนละชนิดคนละค่าย โดยมีดังนี้
1.MacBook Air ลง MacOS
2.Fujitsu ลง Vista
3.Sony Vaio ลง Ubuntu Linux
กติกาคือผู้แข่งขันจะต้องเจาะระบบคอมพิวเตอร์เครื่องใดเครื่องหนึ่งและเข้าไปติดตั้งซอฟต์แวร์ของตัวเองลงในคอมพิวเตอร์เครื่องนั้น ใครสามารถทำได้ในวันแรกรับเงินรางวัลไปเลย 20,000 เหรียญสหรัฐฯ แต่ถ้าใครสามารถแฮกในวันที่สองของการแข่งขัน เงินรางวัลจะลดลงครึ่งหนึ่งเหลือ 10,000 เหรียญ เพื่อไม่ให้นักแฮกเคร่งเครียดจนเกินไป

วันแรกผ่านไปโดยที่นักแฮกตีไข่ไม่แตก แต่วันที่สอง Charlie Miller จากบริษัทรักษาความปลอดภัย Independent Security Evaluators สามารถสอย MacBook Air โดยใช้ช่องโหว่ในซอฟต์แวร์เว็บบราวเซอร์ Safari สำเร็จ หลังจากมุ่งเจาะระบบเพียง 2 นาที
สำหรับ Vista นั้นถูกเจาะโดย Shane Macaulay ใช้เวลาเจาะนานกว่า 2 วันก่อนจะสามารถทำได้สำเร็จในวันศุกร์ ได้รับความช่วยเหลือจากเพื่อนนาม Derek Callaway เล็กน้อย
และแม้ผู้เข้าแข่งขันหลายคนจะเลือกเจาะระบบปฏิบัติการลินุกส์ แต่ก็ไม่มีใครทำสำเร็จ จุดนี้ผู้จัดค่อนข้างประหลาดใจเนื่องจากผู้เข้าแข่งขันในจำนวน 400 คนรายงานว่าพบจุดบกพร่องจำนวนหนึ่งในลินุกส์ แต่ก็ไม่มีใครพยายามเจาะเข้าไปเพื่อเอาชนะการแข่งขัน
งานนี้ขอบอกว่า Linux เทพอีกเหมือนเคย
ที่มา http://www.dbookclub.com/more.php?id=2822

Comments

by บุคคลทั่วไป (not verified) on 5. May 2008 - 13:48
บุคคลทั่วไป's picture

รู้สึกว่า

รู้สึกว่ากติกาการแฮ็คจะไม่เหมือนกันทั้งสองวัน วันที่สองจะให้อิสระกับแฮ็คเกอร์ ว่าจะแฮ็คยังไงก็ได้ แต่วันแรกผมไม่แน่ใจ

by 006nut on 5. May 2008 - 21:52
006nut's picture

ก็น่าแปลก

ก็น่าแปลกนะครับ พบช่องโหว่ แต่ไม่สามารถเจาะระบบเข้ามาได้
นี่หล่ะครับ ผลงานโอเพ่นซอร์สที่ช่วยกันพัฒนากันของคนหลายๆกลุ่ม

by chaow on 6. May 2008 - 1:17
chaow's picture

ผมอยากอ่า

ผมอยากอ่านต้นฉบับ ของจริงจังเลยอ่ะครับ

"จุดนี้ผู้จัดค่อนข้างประหลาดใจเนื่องจากผู้เข้าแข่งขันในจำนวน 400 คนรายงานว่าพบจุดบกพร่องจำนวนหนึ่งในลินุกส์ แต่ก็ไม่มีใครพยายามเจาะเข้าไปเพื่อเอาชนะการแข่งขัน"

โดยเฉพาะตรงนี้ มันแปลกๆ

by kid (not verified) on 6. May 2008 - 10:28
kid's picture

จะว่าไปแล

จะว่าไปแล้วข่าวนี้ค่อนข้างจะแปลมาแบบแปลกๆ อยู่บ้าง
อย่างที่บอกว่า "วันแรกผ่านไปโดยที่นักแฮกตีไข่ไม่แตก"
นั้น คงวามจริงก็คือไม่มีทีมไหนสมัครเข้าแข่ง ในวันแรก
เลย

ส่วนหนึ่งอาจจะเพราะกฏเหณฑ์ยากเกินไป เพราะให้แฮคแบบรีโมทจากช่องโหว่ของตัวระบบปฏิบัติการเท่านั้น ไม่ให้เจาะผ่าน
แอพพลิเคชั่นใดๆ แต่อีกเหตุผลหนึ่งที่วิเคราะห์กันก็คือ เงินรางวัลต่ำเกินไปสำหรับการปล่อยความรู้ระดับนั้น ซึ่งมีค่ามากกว่าสองหมื่นเหรียญแน่นอน

ส่วนวันที่สอง ขยายกฏเกณฑ์เพิ่มให้แฮกผ่านช่องโหว่ของแอพพลิเคชั่นที่มากับระบบปฏิบัติการได้ แม็คบุ๊ึ แอร์ โดนผ่านซาฟารี

วันที่สาม ขยายให้ผ่าน ช่องโหว่ของ third party application ที่นิยมๆกันได้(มีคณะกรรมการกำหนดว่าแอพพลเคชั่นไหนได้ไม่ได้) วิสต้า เจอกับ แฟลช

ขณะเดียวกัน เนื้อข่าวไม่มีความชัดเจนว่ามีทีมไหนเลือกเจาะ อูบุนตูหรือไม่

by Mammothxp on 6. May 2008 - 11:56
Mammothxp's picture

ข่าวนี้มั

ข่าวนี้มันเดือนกว่าแล้ว ไม่ใช่ปลายสัปดาห์ที่ผ่านมา

http://www.youtube.com/watch?v=no11eIx0x6w

โดยส่วนตัว ลินุกซ์หนะมีช่องโหว่และเจาะได้ แต่เขาไม่ทำก็เท่านั้น เหตุผลน่าจะรู้ๆ กันอยู่

by บุคคลทั่วไป (not verified) on 7. May 2008 - 1:21
บุคคลทั่วไป's picture

เพราะอะไร

เพราะอะไรถึงไม่เจาะเหรอครับ โปรดพูดให้เคลียด้วยครับ

(คนไม่รู้จริงๆ)

by kid (not verified) on 7. May 2008 - 4:02
kid's picture

ค้นไปจนเจ

ค้นไปจนเจอต้นตอข่าวจากลินุกซ์เวิร์ลดแล้วครับ
ในข่าวบอกว่ามีหลายคนเหมือนกันที่พยายามเจาะอูบุนตู
แต่ไม่สำเร็จ ทำให้ผู้จัดแปลกใจ (ผู้จักแปลกใจตรงนี้นะครับ ไม่ได้แปลกใจข้างล่าง)

ส่วนที่บอกว่าสี่ร้อยคนพบช่องโหว่ของอูบุนตูนั้น
จริงๆเขาบอกว่าบางส่วนจากผู้แข่งขันทั้งหมดสี่ร้อยกว่าคน
บอกว่ารู้ว่ามีช่องโหว่แต่ส่วนมากไม่ยอมเจาะเพื่อคว้าเงินรางวัล

เพราะอะไรไม่บอก ถ้าจะเดาไปก็ไลฟ์บอย เพราะความเป็นได้มีเยอะแยะ เช่น อาจจะแค่โม้ว่ารู้ จริงๆแล้วไม่รู้ หรือรู้จริงและรู้ว่าเจาะไม่สำเร็จเลยไม่ยอมเจาะ หรือ รางวัลต่ำไปขี้เกยจเสียเวลา หรือ เป็นสาวกลินุกซ์แบบขึ้นสมองไม่ยอมทำให้ศาสนาของตัวเองถูกดูถูกดูหมิ่น หรือ ฯลฯ

ดังนั้นคิดไปก็ไลฟ์บอย เนื่องจากเราไม่ได้อยู่ในเหตุการณ์ อีกอย่างการแข่งขันนี้ไม่ได้เพื่อจะพิสูจน์ว่าโอเอสไหนเหนือกว่า มันแค่แข่งกันดูว่าใครจะพบช่องโหว่ใหม่โดยที่ยังไม่เคยมีใครพบมากกว่า

แต่ข่าวถูกหยิบประเด็นที่สรา้งสีสันได้มากมาใช้ แล้วสาวกของแต่ละค่ายก็ตกเป็นเหยื่อของสีสันยิ่งวกว่าสาระ ยังหยิบมาทะเลาะกันไม่เลิกจนบัดนี้ บางฟอรัมในต่างประเทศผมเห็นเรื่องนี้เถียงกันทุกวันมาเป็นเดือนแล้วครับ

by chenko (not verified) on 7. May 2008 - 7:36
chenko's picture

แต่อีกเหต

แต่อีกเหตุผลหนึ่งที่วิเคราะห์กันก็คือ เงินรางวัลต่ำเกินไปสำหรับการปล่อยความรู้ระดับนั้น ซึ่งมีค่ามากกว่าสองหมื่นเหรียญแน่นอน
-------------------

นั่นสิ น่าคิด..

by Ouychai on 8. May 2008 - 6:41
Ouychai's picture

ถ้าหากเจาะลงไป

ถ้าหากว่าค้นพบช่องโหว่าและเจาะลงไป ไม่เกินวันพรุ่งนี้ เค้าก็จะอุดช่องโหว่กัน

ประธานกลุ่มคอมพิวเตอร์และอินเตอร์เน็ต
121 ม.3 ต.สง่าบ้าน อ.ดอยสะเก็ด จ.เชียงใหม่
50220
http://www.sangaban.org

by หรือรู้แต่ไม่ทำ (not verified) on 8. May 2008 - 10:10
หรือรู้แต่ไม่ทำ's picture

เจาะยากจริงๆ เพราะไม่มีเครื่องไม่เครื่องมืออำนวยความสะดวก

ที่จริงจะว่าเจอ ก็เจอนะครับกับช่องโหว่ต่างๆ เพียงแต่การจะให้เจาะโดยไม่อาศัยเครื่องมือหรืออุปกรณ์พิเศษช่วยเลย สำหรับลีนุกซ์แล้วถือว่า "ยากส์" มากๆ เนื่องจากผู้ที่คิดจะเจาะจะต้องทั้งเก่งและเชี่ยวชาญระดับสูง (ถึงสูงมาก)ดังนั้นเหตุผลที่คนไม่เจาะลีนุกซ์ ก็คงเป็นเรื่องของความยากและระยะเวลาในการเจาะเสียมากกว่าครับ ไม่ใช่ว่าเจาะไม่ได้ ส่วนที่ว่าเจาะได้แต่ไม่เจาะนั้น ก็มีอีกหลายเหตุผลสนับสนุนครับ เช่นว่า ไม่อยากมีปัญหากับทีมพัฒนาอิสระทั่วโลก เป็นต้น