En fait, le challenge initial consistait à obtenir les droits super-utilisateur à partir d'un compte local sympathiquement ouvert à quiconque en ferait la demande. Or cette information n'apparaissait pas dans les articles publiés (ZDNet a cependant mis le sien à jour entre temps[1]), amenant ainsi les lecteurs à penser que la machine avait été compromise à distance, plutôt que localement. Le nouveau challenge veut donc faire un sort à la rumeur née de cet oubli en proposant de défigurer un site monté pour l'occasion sur un MacMini à jour, fournissant SSH et HTTP comme services accessibles depuis l'extérieur.

Je ne me fais pas trop d'illusion sur le résultat de ce challenge qui reviendrait bel et bien à démontrer l'éventuelle vulnérabilité d'Apache ou d'OpenSSH et leur exploitabilité sur une architecture PPC : il y a vraiment très peu de chance que quelqu'un compromette la machine. Non pas que je pense que personne ne puisse le faire, mais plutôt que les gens qui disposent des outils pour le faire (i.e. quelques bon gros 0days) n'iront pas les lancer dans le cadre d'un challenge. En effet, il est évident que tout le trafic qui concerne cette machine est sniffé, logué et analysé. S'introduire sur cette machine via une faille non publiée reviendrait à la révéler, et donc perdre cet "avantage". Un exploit qui fournirait un remote root (même un remote shell tout simple) via OpenSSH vaudrait assurément une petite fortune sur le marché, public ou non, de la vulnérabilité.

Ce qui amène à s'interroger sur le sens de ces challenges. Il devrait être évident pour tout le monde (ou presque) qu'un tel appel à compromission ne peut pas démontrer la sécurité de l'élément visé. Ce n'est en effet pas parce que les gens qui se sont frottés au challenge ne sont parvenu à rien qu'il n'exister pas sur Terre, ailleurs, quelqu'un qui ne soit pas capable, ou qui n'ait pas envie (comme expliqué plus tôt.). Quel est donc l'intérêt, sinon amener certains à se conforter à moindre effort dans leurs certitudes ?

Enfin, cette anecdote montre clairement la faiblesse des systèmes courament utilisés face à un attaque locale. Linux par exemple a une liste de local root via des vulnérabilités dans le noyau assez longue. Et les travaux menés l'an dernier tendent à montrer qu'il en va de même pour MacOSX. Et ça ne surprend personne, tout le monde en est conscient. Donc un premier challenge qui nous montre ce que tout le monde savait déjà suivi d'un second qui ne démontrera rien, qu'est-ce que ça nous donne ? Un bon gros pétard mouillé comme les journaux en ligne savent nous en servir.

Notes

[1] Ajout de : "Participants were given local client access to the target computer and invited to try their luck"