Monday, March 31, 2008

എന്ത് കോപ്പാണ് ഈ PWN2OWN അല്ലേല്‍ സെക്യുരിറ്റി?

ഓ.എസ്സ്.
ലോകത്തേറ്റവും കൂടുതല്‍ ഉപയോഗിക്കപ്പെടുന്ന സോഫ്റ്റ്‌വെയര്‍ ഒരു സിസ്റ്റം സോഫ്റ്റ്‌വെയറാണ്. അതിന്റെ പൊതുവായ പേര് 'ഓപ്പറേറ്റിംഗ് സിസ്റ്റം' എന്നുമാണ്.
വോണ്‍-ന്യൂമാന്‍ ആര്‍ക്കിടെക്ചറിലുള്ള ഇന്നത്തെ മെഷീനുകളെ മറ്റു പ്രോഗ്രാമുകള്‍ക്ക് ഉപയുക്തമാക്കുന്നത് ഈ പ്രസ്താവിത ഓ.എസ്സാണ്.
ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഉണ്ടാക്കുക എന്നത് വളരെയേറെ കോംപ്ലക്സ് ആയ പണിയാണ്. അതിന്റെ വെറും അസ്ഥികൂടം ഉണ്ടാക്കുക എന്നതു പോലും വളരെ പാടുള്ള, ഭയങ്കര ബുദ്ധിമുട്ടുള്ള സംഗതിയാണ് - ഒരു ഫുള്‍ ഫീച്ചേഡ് ഓ.എസ്സിന്റെ കാര്യം പിന്നെ പറയാനുമില്ല.

ഓ.എസ്സില്‍ ചില ഫീച്ചേഴ്സ് എന്തു കൊണ്ട് ഇന്ന രീതിയില്‍ ഇംപ്ലിമെന്റ് ചെയ്യുന്നു, ചില രീതിയില്‍ ചെയ്തു കൂടാ എന്നത് വളരെ പ്രാധാന്യമുള്ള സംഗതിയാണ്. ലൂപ്പ്-ഹോളുകള്‍ ഉണ്ടോ ഉണ്ടോ എന്ന് ഓരോ വരി കോഡ് എഴുതുമ്പോഴും ഓര്‍ത്തിരിക്കേണ്ടി വരും.

കാരണം, നാം ആലോചിചിട്ടു പോലുമില്ലാത്ത വഴികളിലൂടെയും മാര്‍ഗ്ഗങ്ങളിലൂടെയും നമ്മളെഴുതിയ കോഡ് സഞ്ചരിക്കാനുള്ള സാധ്യതകള്‍ തുറന്നിടപ്പെട്ടേക്കാം.
അതായത്, ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റം എഴുത്തുകാരന്‍ എഴുതുന്ന കോഡ് 'ബുള്ളറ്റ്-പ്രൂഫ്' ആയിരിക്കണം. അങ്ങേരുടെ വിധി.

ഓ.എസ്സ് ഉണ്ടാക്കുന്ന ആളുടെ ഡിസൈന്‍ ചോയ്സ് വളരെ പ്രധാനപ്പെട്ട ഒന്നാകുന്നത് ഇങ്ങനെയാണ്.

PWN
ഇന്റര്‍നെറ്റ് സെക്യൂരിറ്റി ജാര്‍ഗണില്‍ പെടുന്ന ഒരു മുട്ടന്‍ വാക്ക്. ഓണ്‍ലൈന്‍ ഗെയിമിംഗില്‍ നിന്നാവണം ഈ പ്രയോഗമുണ്ടായത് എന്നു വിശ്വസിക്കപ്പെടുന്നു. OWN എന്നതിന്റെ ഒരു pun ആണ് PWN. 'യുവര്‍ മെഷീന്‍ ഈസ് ജസ്റ്റ് പണ്‍ട്, മാന്‍' എന്നു വെച്ചാല്‍, തീര്‍ന്നു, നിന്റെ മെഷീന്‍ ആമ്പിള്ളേര് ഹാക്ക് ചെയ്തു കഴിഞ്ഞു എന്നാകുന്നു.
ഈ ഹാക്കിംഗ് പല വിധത്തിലുണ്ട് - ലോക്കല്‍ എക്സ്പ്ലോയിറ്റ്, റിമോട്ട് എക്സ്പ്ലോയിറ്റ് എന്ന് പൊതുവായി തരംതിരിക്കാം. ഈ ഹാക്കിംഗുകളെല്ലാം ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിലെയോ,
അല്ലെങ്കില്‍ സിസ്റ്റത്തില്‍ ഇന്‍സ്റ്റോള്‍ ചെയ്തിരിക്കുന്ന മറ്റ് സോഫ്റ്റ്‌വെയറുകളുടെയോ പിഴവുകള്‍ മുതലെടുത്തു കൊണ്ടാണ് സാധ്യമാക്കുന്നത്. ഇത്തരം പിഴവുകളെ പൊതുവേ flaw, vulnerability എന്നൊക്കെ വിളിച്ചു പോരുന്നു. ഇതു മുതലെടുത്ത് സിസ്റ്റം ഹാക്ക് ചെയ്യുന്നത്തിനെ exploit എന്നും.

PWN2OWN
ഇതൊരു ഹാക്കിംഗ് കോണ്ടെസ്റ്റാണ്. ഈ വര്‍ഷത്തെ മത്സരം ഇപ്പൊ കഴിഞ്ഞതേ ഉള്ളൂ. അതിനെപ്പറ്റിയാണ് ഈ പോസ്റ്റ്. ഇതു വരെ മൊഴിഞ്ഞതെല്ലാം ആമുഖം.

ചെന്നൈ ചെപ്പോക്ക് സ്റ്റേഡിയത്തില്‍ ഇന്ത്യാ-ദക്ഷിണാഫ്രിക്കാ ടെസ്റ്റ് നടക്കുമ്പോള്‍, വാന്‍കൂവറില്‍ മറ്റൊരു ത്രിദിന ടെസ്റ്റ് നടക്കുകയായിരുന്നു.
മൂന്ന് അതികായര്‍ അണിനിരക്കുന്ന ഒരു 'എന്‍ഡ്യുറന്‍സ് ടെസ്റ്റ്'. മൂന്ന് ലാപ്‌ടോപ്പുകള്‍, മൂന്ന് സുപ്രധാന ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളുമായി ഒരു പറ്റം ഹാക്കര്‍മാരെ എതിരിടുന്നു.
ദോ, ഇവരാണവര്‍.
1) VAIO VGN-TZ37CN - ഉബുണ്‍ടു 7.10
2) Fujitsu U810 - വിസ്ത അള്‍ടിമേറ്റ് സര്‍വീസ് പാക്ക് 1
3) MacBook Air - മാക് ഓ എസ് 10.5.2

ഈ മൂന്നു മെഷീനുകളെയും flaws exploit ചെയ്ത് കീഴടക്കണം. കീഴടക്കിയാല്‍; ആ ലാപ്‌ടോപ്പും, കൈ നിറയെ ഡോളറും നിങ്ങള്‍ക്കാണ്.
എല്ലാ സിസ്റ്റവും ഡിഫോള്‍ട്ട് കോണ്‍ഫിഗറേഷനില്‍.
ഓരോ ഹാക്കര്‍ക്കും അര മണിക്കൂര്‍ വീതമുള്ള സമയം തരും. അങ്ങനെ ചാന്‍സ് അനുസരിച്ച് വൈന്നേരം വരെ ഹാക്ക് ചെയ്തു മരിക്കാം.

ഓരോ ദിവസത്തെ നിയമങ്ങളും, സോഫ്റ്റ്‌വെയര്‍ കോണ്‍ഫിഗറേഷനും, പ്രതിഫലത്തുകയും മാറിക്കൊണ്ടിരിക്കും. ക്യാമറ ഇനി സൂം-ഇന്‍ ചെയ്തു നോക്കാം.

ടെസ്റ്റ് - ഒന്നാം ദിനം.
നിയമം - എല്ലാ ലാപ്‌ടോപ്പും റിമോട്ട് പ്രീ-ഓഥ് വള്‍നറബിലിറ്റ്റി എക്സ്പ്ലോയിറ്റിനു വിധേയമാക്കാം. ഒരുവിധ യൂസര്‍ ഇന്റ്റാക്ഷനും അനുവദനീയമല്ല. അതായത്, ഒരു യൂസര്‍ നിങ്ങള്‍ നല്‍കുന്ന ലിങ്കില്‍ ക്ലിക്കു ചെയ്യുകയോ മറ്റോ ചെയ്ത് ഹാക്ക് ചെയ്യാന്‍ അനുവദിക്കില്ല എന്ന്.
സമ്മാനത്തുക - 20,000 ഡോളര്‍.

ഒന്നാം ദിനം മത്സരം അവസാനിക്കുമ്പോള്‍, അല്ലെങ്കില്‍ സ്റ്റമ്പെടുക്കുമ്പോള്‍ വിക്കറ്റൊന്നും വീണില്ല. ച്ചാല്‍, ഉബുണ്‍ടു, വിസ്ത, മാക് ഓഎസ് എന്നിവര്‍ അപരാജിതരായി നിന്നു.
ചുരുക്കിപ്പറഞ്ഞാല്‍, മൂന്ന് ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളും ഒരു വിധ വിദൂര-മുതലെടുപ്പിനും (റിമോട്ട് എക്സ്പ്ലോയിറ്റ്) വിധേയമായില്ല. വണ്ടര്‍ഫുള്‍. ഫന്റാസ്റ്റിക്.

ടെസ്റ്റ് - രണ്ടാം ദിനം.
നിയമം - സിസ്റ്റത്തില്‍ ഡീഫാള്‍ട്ട് ആയി ഇന്‍സ്റ്റോള്‍ ചെയ്തിട്ടുള്ള എല്ലാ ക്ലയന്റ്-സൈഡ് അപ്പ്ലിക്കേഷനുകളും ആക്രമണപരിധിയില്‍ വരുന്നു. ഉദാഹരണത്തിനു ഒരു വെബ്-ബ്രൗസര്‍. നിങ്ങള്‍ക്ക് ഒരു യൂസറെ കൊണ്ട് നിങ്ങളുടെ അപകടകരമായ സൈറ്റിന്റെ ലിങ്ക് ക്ലിക്ക് ചെയ്യിക്കാം.
സമ്മാനത്തുക - 10,000 ഡോളര്‍.

രണ്ടാം ദിനം മത്സരം ആരംഭിച്ച് വെറും രണ്ടേ രണ്ട് മിനിറ്റുകള്‍ക്കുള്ളില്‍ - ഐ റിപ്പീറ്റ് - രണ്ടേ രണ്ട് മിനിറ്റുകള്‍ക്കുള്ളില്‍ - MacBook Air നിലം പൊത്തി. ആപ്പിളിന്റെ സഫാരി വെബ്-ബ്രൗസറിലുള്ള ഒരു പിഴവ് മുതലെടുത്താണ് ചാര്‍ലീ മില്ലര്‍ എന്ന സെക്യൂരിറ്റി എക്സ്പര്‍ട്ട് MacBook Air ലാപ്‌ടോപ്പും 10,000 ഡോളറും കീശയിലാക്കിയത്. (എന്തോ? ഇല്ല, MacBook ഇടാനും മാത്രം വലുതായിരുന്നില്ല പോക്കറ്റ്. അതങ്ങേരു ബാഗില് വെച്ചു).

രണ്ടാം ദിനം മത്സരം അവസാനിക്കുമ്പോള്‍ വിസ്തയും ഉബുണ്‍ടുവും തല ഉയര്‍ത്തിത്തന്നെ നിന്നു.

ടെസ്റ്റ് - മൂന്നാം ദിനം.
മൂന്നാമത്തെയും അവസാനത്തെയും ദിവസം.

നിയമം - ആക്രമണപരിധി വളരെ പ്രചാരമുള്ള 'തേഡ്-പാര്‍ട്ടി' അപ്പ്ലിക്കേഷനുകളിലേക്കു കൂടി വ്യാപിപ്പിക്കുന്നു.
സമ്മാനത്തുക - 5,000 ഡോളര്‍.

അവസാനദിനം വളരെയധികം നേരം പിടിച്ചു നിന്നതിനു ശേഷം Fujitsu ലാപ്‌ടോപ്പ് കീഴടങ്ങി ! വിന്‍ഡോസ് വിസ്തയില്‍ അഡോബി ഫ്ലാഷ് സോഫ്റ്റ്‌വെയറിന്റെ സെക്യൂരിറ്റി പിഴവുകള്‍ മുതലെടുത്ത് ഷെയ്‌ന്‍ മക്കോളെ ലാപ്‌ടോപ്പും 5,000 ഡോളറും കൊണ്ടു പോയി.

ക്ലൈമാക്സ്.
ഉബുണ്‍ടു ലിനക്സ് സ്റ്റുഡ് അണ്‍ബീറ്റബ്ള്‍.

സെക്യൂരിറ്റി.
എന്താണ് അല്ലേല്‍ എന്തായിരുന്നു PWN2OWN ഹാക്ക്-ഫെസ്റ്റിന്റെ പ്രസക്തി?
പല ഓപ്പറേറ്റിംഗ് സിസ്റ്റം വെന്‍ഡര്‍മാരും സെക്യൂരിറ്റിയെ കുറിച്ച് പല പല അവകാശവാദങ്ങളും ഉയര്‍ത്തുമ്പോള്‍, ഒരു സത്യാന്വേഷണ പരീക്ഷണം. അല്ലേല്‍ ഒരു ഫ്രീ ചെക്കപ്പ്.

ശ്രദ്ധിക്കുക - പൊളിച്ചടുക്കപ്പെട്ട രണ്ട് ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളും 'ക്ലോസ്ഡ് സോഴ്സ്' അഥവാ സോഴ്സ് കോഡ് പുറത്തുവിടാത്ത 'പ്രൊപ്രൈറ്ററി' അഥവാ കുത്തക സോഫ്റ്റ്‌വെയറുകളായിരുന്നു.
അതേ സമയം ഉബുണ്‍ടു ലിനക്സിന്റെ സോഴ്സ് മുഴുവന്‍ ഓപ്പണ്‍ ആയിരുന്നു എന്നതും, സോഴ്സ് കോഡ് കാണുവാന്‍ സാധിക്കുക എന്നത് ഒരു അറ്റാക്കറുടെ ജോലി എളുപ്പമാക്കുന്നു എന്നതും ശ്രദ്ധേയമാണ്.

11 മറുവാക്കുകള്‍:

  1. രജീഷ് || നമ്പ്യാര്‍ said...

    നാം ആലോചിചിട്ടു പോലുമില്ലാത്ത വഴികളിലൂടെയും മാര്‍ഗ്ഗങ്ങളിലൂടെയും നമ്മളെഴുതിയ കോഡ് സഞ്ചരിക്കാനുള്ള സാധ്യതകള്‍ തുറന്നിടപ്പെട്ടേക്കാം.

    - ക.ട്: മണിച്ചിത്രത്താഴ്.

  2. സന്തോഷ് said...

    ശ്രദ്ധിക്കുക - പൊളിച്ചടുക്കപ്പെട്ട രണ്ട് ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളും 'ക്ലോസ്ഡ് സോഴ്സ്' അഥവാ സോഴ്സ് കോഡ് പുറത്തുവിടാത്ത 'പ്രൊപ്രൈറ്ററി' അഥവാ കുത്തക സോഫ്റ്റ്‌വെയറുകളായിരുന്നു.


    According to this news,

    "The flaw is in something else, but the inherent nature of Java allowed us to get around the protections that Microsoft had in place," he said in an interview shortly after he claimed his prize Friday. "This could affect Linux or Mac OS X."

  3. അനൂപ്‌ എസ്‌.നായര്‍ കോതനല്ലൂര്‍ said...

    നല്ല അറിവു പകര്‍ന്ന കുറിപ്പ്

  4. റിയാദ്‌|~|Riyad said...

    ഞാന്‍ ഉവാച: ഇപ്പോഴാ ഇങ്ങയൊരു കോണ്ടെസ്റ്റ് ഉണ്ടെന്നറിയുന്നതു. അടൂത്ത തവണയൊന്നു ശ്രമിച്ചു നോക്കിയാലൊ..;) കിട്ടിയാലൂട്ടി ഇല്ലെങ്കില്‍ ചട്ടി..

  5. evuraan said...

    ക്ലൈമാക്സ്.
    ഉബുണ്‍ടു ലിനക്സ് സ്റ്റുഡ് അണ്‍ബീറ്റബ്ള്‍.


    ഹ ഹാ - ഇനിമേല്‍ പാക്കേജുകള്‍ റിലീസുമ്പോള്‍ .deb കൂടി റിലീസുക, rpm മാത്രമായാല്‍ ശരിയാവില്ലന്നേ..!

  6. Eccentric said...

    നംബ്യാരെ കിടിലം....ഈ ലോകത്ത് എന്തോരം പുലികളാ ഹൊ.

  7. കുട്ടിച്ചാത്തന്‍ said...

    ചാത്തനേറ്: എടാമിടുക്കാ ഇത്രേം നന്നാക്കി എഴുതീട്ടും ആരും വായിക്കാൻ വന്നില്ലേ?

    കമ്പ്യൂട്ടർ യൂസേർസ് മാത്രം വായിക്കരുത് എന്ന് തലേക്കെട്ട് കൊട്.

  8. രജീഷ് || നമ്പ്യാര്‍ said...

    എല്ലാര്‍ക്കും സാമാന്യമായും പ്രത്യേകമായും നന്ദി രേഖപ്പെടുത്തുന്നു.

    യാരിദ്: ചുമ്മാ നോക്കെന്നേ ;-)
    ഏവൂരാന്‍: ഉബുണ്‍ടു ആരാധകരെന്തു മാത്രമുണ്ട്... അവശ വിഭാഗമായ ഫെഡോറക്കൊരു തള്ള്. :-)

    ചാത്തന്‍സ്: ഈ പേരില്‍ ഞാനൊരു സോഫ്റ്റ്‌‌വെയറ് റിലീസ് ചെയ്തതേയുള്ളൂ. ഇനിത്തൊട്ട് തലേക്കെട്ട് ഇടുന്നതിനു മുന്പേ ചാത്തന്‍സിന്റേം രാംമോഹന്‍ പാലിയത്തിന്റേം ഉപദേശം സ്മരിക്കുന്നതായിരിക്കും. ;-)

  9. ആശാന്(aasaan) said...

    കലക്കി മോനെ... കൊള്ളാമല്ലോ... ഇപ്പോളെ ഇത് കണ്ടുള്ളൂ..... നന്നായിട്ടുണ്ട്.. ഞാനും ഒരു ഉബുണ്ടു ഫാന്‍ ആയി.. :)

  10. ടോട്ടോചാന്‍ (edukeralam) said...

    മത്സരം കൊള്ളാല്ലോ... ഇനിയും ഇതേ പോലെ മത്സരമുണ്ടാകുമ്പോള്‍ ഒന്നു നോക്കാം...
    ഒരു കാര്യം മനസ്സിലായി, ഒരു ദിവസത്തെ ഉപയോഗത്തിനാണെങ്കില്‍ മാക്ക് മതി,
    രണ്ടു ദിവസത്തെ ഉപയോഗത്തിന് വിസ്ത ഉപയോഗിക്കുക
    മൂന്ന് ദിവസത്തെ ഉപയോഗത്തിന് ഉബുണ്ടുവും...

  11. aav said...

    interesting :)