| |
| 2.6, Константавр (ok), 21:44, 15/01/2019 [^] [^^] [^^^] [ответить]
| +16 +/– |
 1% ??? Я думаю, на серваках им ой как интересно. Тут скорее "спонсор" объявился, который на букву "М", он всем популярно объяснил на какой платформе надо сконцентрироваться, потому что он проплатил поиск проблем в своей системе, а не у конкурентов.
| | |
| |
| 3.7, Annoynymous (ok), 21:45, 15/01/2019 [^] [^^] [^^^] [ответить]
| +12 +/– |
 Странный спонсор. Теперь все будут говорить, что на pwn2own поломали всех, кроме Linux.
| | |
| |
| 4.11, пох (?), 22:30, 15/01/2019 [^] [^^] [^^^] [ответить]
| –5 +/– | |
нет, говорить будут что линукс вон каждый год ломали, а теслу никто не взломал.
потому что если ты можешь взломать теслу - тебе те копейки нафиг не упали - просто каждый день новая тесла будет автоуезжать от дома счастливого владельца прямиком куда-нибудь в гаражи на окраине - даже по запчастям должно получиться неплохо.
А привлечь тебя если даже поймают- очень сложно - "она же сама уехала, я даже близко к ней не подходил".
| | |
| |
| 5.17, Annoynymous (ok), 22:56, 15/01/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
> просто каждый день новая тесла будет автоуезжать от
> дома счастливого владельца прямиком куда-нибудь в гаражи на окраине - даже
> по запчастям должно получиться неплохо.
С тем же успехом можно сказать, что если ты умеешь ломать линукс, то на тебя майнят все серверы мира и те копейки тебе нафиг не упали.
| | |
| |
| 6.27, Аноним (27), 02:49, 16/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ко всем серверам мира приставлен админ на зарплате, а десктопные лоханки на винде администрирует такие специалисты как твоя бабушка и школота. Вопрос, где дольше проживет малварь-майнер?
| | |
| 6.38, нах (?), 09:43, 16/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
да ты попробуй чего намайни на тех серверах - я вот пробовал, чота расстроился. От майнинга в браузере и то больше толка - не даром они все нынче у нас лезут в gpu. Но эту номинацию, смотрю, тоже отменили ;-)
Вот если ломануть пул или рабочую станцию дятла-майнера - тогда профит есть, ну так они в конкурсе и не участвуют по этой причине ;-)
| | |
| |
| 7.51, Annoynymous (ok), 20:24, 16/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> да ты попробуй чего намайни на тех серверах - я вот пробовал, чота расстроился.
Да ладно, бесплатно-то и уксус сладкий :-)
| | |
| |
| 8.53, нах (?), 10:41, 17/01/2019 [^] [^^] [^^^] [ответить] | +/– | ну какое там бесплатно - найди уязвимость, напиши эксплойт - не на пруф оф консе... текст свёрнут, показать | | |
|
|
|
|
|
| 3.25, Аноним (25), 01:31, 16/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Гениальный ход купить десяточку про, переплатив и ради взлома, а может и не сломает но уже куплено? MS и тут зарабатывает...
| | |
|
| 2.21, Иван (??), 23:35, 15/01/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Линукс убрали по результатам прошлого года. Очень легко стало находить баги.
https://www.tomshardware.com/news/pwn2own-2018-kernel-exploits-focus,36679.html
Две цитаты:
1. Focus Changes To Kernel Exploits As Browsers Get Harder To Hack.
2. Kernel Exploits, The New “Go-To” For Browser Hackers. All the exploits that succeeded in breaking Safari, Edge, and Firefox’s security took advantage of OS kernel flaws or some other kind of sandbox escape.
Собственно в этом году решили за нахождение дырки в дуршлаге не платить.
Я серьезно. Возможно некоторые считают, что ядро Линуска супер-не-ломаемое, но это не так. Если кто не верит, может заглянуть на https://syzkaller.appspot.com/#upstream . Собственно вот вам и список на 542 уязвимости (UaFs, info leaks, всё что душе угодно). И каждый день находится ещё 1-3 новые. Почему никто не делает эксплоиты на это? Просто потому что никому не нужно. Но если организаторы pwn2own предлагают за это денюжку, то можно и написать.
Disclaimer. У некоторых могло возгореть от прочитанного. Я не говорю, что Линукс хуже других. Я лишь говорю, что ситуация с уязвимостями в Линуксе не идеальная.
| | |
| |
| 3.28, Генус (?), 03:13, 16/01/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ну и обе твои цитаты высказаны обо всех ядрах всех ОС,а не только о линуксе.
Там прямо это указано. Но наблюдательный пользователь поймёт и по упоминанию в твоих цитатах сафари.
Я не говорю, что ядро Линукс без дыр, но в ходе этого мероприятия их больше заинтересовали прорывы песочниц браузерами в Винде. Взять тот же Firefox из статьи.
Кстати, там и названы причины - в ядре Линукс найденные дырки латают сильно быстрее, в отличии от...
| | |
| 3.41, нах (?), 10:23, 16/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Почему никто не делает эксплоиты на это?
почему же не делают? Делают. Червяки пришедшие по ssh юзером test или oracle - через секунду становятся рутом, причем чаще всего это zero day.
В паблик не выкладывают - ну так а зачем, заткнут дыру, опять пол-дня терять новый эксплойт писать, а майнингу не хватает мощностей.
| | |
| 3.42, Аноним (42), 10:39, 16/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Почему я не делаю эксплоиты на это?
> Просто потому что не умею.
Кто бы сомневался.
| | |
|
|
| 1.8, Аноним (8), 21:46, 15/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ну это ШОУ. За Взлом Теслы выдадут Тэслу. А за взлом Линукс - что?
| | |
| |
| 2.10, klalafuda (?), 22:01, 15/01/2019 [^] [^^] [^^^] [ответить]
| +8 +/– |
Подозреваю что за качественный удаленный взлом линукса можно смело просить несколько тесл. И вполне себе дадут.
| | |
| |
| 3.12, пох (?), 22:34, 15/01/2019 [^] [^^] [^^^] [ответить]
| –8 +/– | |
эммм... вообще-то 250 тыщ долларов - это не "несколько", а несколько десятков model3. Даже S'ок выйдет поболее десяти, по-моему, она на родине тыщ 12 сейчас стоит - "устаревшая модель, начала 2018 года".
но если по твоей команде тесла уезжает от хозяина - ты можешь себе набрать парк не в десятки, а в сотни.
| | |
| |
| 4.32, zoonman (ok), 07:30, 16/01/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Нормальная покупабельная тесла стоит примерно 60 килобаксов после выплаты всех налогов и сборов.
Американцы берут такие машины в кредит, ибо сразу заплатить дорого, а ездить хочется прямо сейчас.
| | |
| |
| 5.40, нах (?), 10:19, 16/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
если бы тебе давали кредит под 0% (а автокредиты у проклятых мериканцев либо под 0, в виде "уникального предложения, действует следующие 24 часа" (обновляется каждый день ;-) либо под копейки ниже инфляционных потерь) - ты бы тоже свой жигулятор брал в кредит. Но производителю хочется всех твоих денег прямо сейчас, а деваться с подводной лодки тебе некуда.
| | |
| |
| 6.56, Michael Shigorin (ok), 01:44, 18/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > если бы тебе давали кредит под 0%
...то ты бы разожрался так, что или цены бы попёрли как у проклятых американцев на недвижимость, или "движение бабла" со всех этих перекредитаций пришлось бы срочно рассовывать по пузырям... ой, опять как у.
Нормальные люди всё-таки помнят, что ничто из ниоткуда не берётся. Даже удар "пустой" рукой.
| | |
|
|
| 4.34, Аноним (34), 07:41, 16/01/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> вообще-то 250 тыщ долларов - это не "несколько", а несколько десятков model3. Даже S'ок выйдет поболее десяти, по-моему, она на родине тыщ 12 сейчас стоит - "устаревшая модель, начала 2018 года".
Я как человек пытавшийся недавно купить теслу (в штатах), замечу:
Новая Model S в базовой комплектации + налоги это где-то $90К, даже 5ти летнюю S-ку за $30К ты вряд ли купишь. Новая тройка где-то в $33К обойдется и ты её ещё ждать будешь полгода.
Я понимаю, пох, что ты недалёк, но элементарно погуглить мог бы.
| | |
| |
| 5.54, нах (?), 10:44, 17/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Для справки:
> Model S P100D $133,000 + налоги (~10%)
ну что поделать, придется успешному белому хакеру на трешке ездить, иначе каждый день на новой не получится, как у чорного-пречорного :(
| | |
|
|
|
| 2.18, Аноним (18), 22:59, 15/01/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
>За Взлом Теслы выдадут Тэслу. А за взлом Линукс - что?
Линукс. Дадут тебе коллекционное издание убунты.
| | |
|
| 1.31, псевдонимус (?), 05:37, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.
Ну и какой смысл в этом конкурсе? Или боятся подпортить репутацию линукс-систем?
| | |
| |
| 2.39, нах (?), 09:47, 16/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ну и какой смысл в этом конкурсе? Или боятся подпортить репутацию линукс-систем?
просто не хотят платить денег за то, что каждый дурак сможет. репутация там и так ниже плинтуса.
причем если сегодня дыр найти не удалось - надо просто немножко подождать, stable codebase is nonsense так же как api, завтра провертят парочку новых. Послезавтра заткнут пальцем, но ты уже можешь быть в числе призеров.
| | |
| |
| |
| 4.49, нах (?), 17:22, 16/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Это Вы на systemd намекаете ;)
зочем вы тгавите? Поверьте, у нас еще много-много вариантов разных дыр, уровня gethostbyname (glibc, remote root, три, что-ли, года), dccp (in-kernel) и n_tty.c (пять лет local root? рекорд)
прекрасно проживем и без systemd-exploitd - какой там объем патча у 5.0 ? Ну, вот... успехов все это верифицировать или хотя бы бегло просмотреть.
| | |
| |
| 5.58, псевдонимус (?), 17:27, 19/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>(пять лет local root?
НОТАБУГ! ЛОКАЛЬНО НЕ СЧЕТОВО!! В ВЫНЬДЕ ТЫ ДАЖЕ НЕ ЗНАЕШЬ, СКОЛЬКО У ТЕБЯ ДЫР И ВООБЩЕ ЕЙ КАПЕЦ!!!
| | |
|
|
|
|
| 1.44, J.L. (?), 11:55, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd)
по-моему это дискриминация!
чем больше хонипотов - тем лучше, а тут ещё и с наградой
| | |
| 1.52, лютый жабист__ (?), 09:12, 17/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не понял почему так мало времени дают, всего 2 месяца? Я про замкад молчу, год наверное уйдёт. Но даже в штатах надо больше 2 месяцев.
Провоцируют угоны...
| | |
|
