Администратор ИБ
0,4
рейтинг
5 апреля 2014 в 07:22

Разработка → 5-летний ребенок взломал авторизацию Xbox Live

Пятилетний мальчик из Сан-Диего Кристофер фон Хассель (Kristoffer Von Hassel) умудрился буквально методом «научного тыка» найти уязвимость в механизмах авторизации Xbox Live.

Однажды, оставшись дома наедине с приставкой, парень захотел поиграть в папины игрушки, вот только отец-жмот конечно же не оставил сыну пароля от своего аккаунта. Пытаясь забрутфорсить папаню, Кристофер обнаружил, что после введения неправильного пароля выводится окно с предложением ввода пароля еще раз и если там просто ввести пробел система как ни в чем не бывало авторизует его!

Юный хакер принялся проходить стрелялки отца, в результате чего, конечно же, довольно быстро спалился перед родителями. Уже готовясь получить ремня, он рассказал каким образом ему удавалось играть в запрещенные игры. Однако, отцом Кристофера оказался специалист по компьютерной безопасности, поэтому вместо наказания они все дружно поржали над «решетом» и сообщили об уязвимости в техподдержку Microsoft.



В ответ на сообщение в Microsoft заявили: «Мы всегда готовы выслушать наших клиентов и благодарим их за привлечение нашего внимания к проблемам. Мы серьезно относимся к безопасности Xbox и исправляем уязвимости, как только узнаем о них».

Специалисты компании уже исправили брешь, а Кристофера фон Хасселя добавили в список признанных исследователей в области информационной безопасности, которые помогли сделать онлайн-сервисы Microsoft лучше. Также в награду от Microsoft Кристофер получил четыре игры, $50 и годовую подписку на Xbox Live.

image

Сам ребенок заявил, что хочет стать геймером когда вырастет. Его папа же склоняется в сторону компьютерной безопасности…
Александр @Akr0n
карма
88,7
рейтинг 0,4
Администратор ИБ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (138)

  • +83
    … стать геймером когда вырастет.

    А когда-то дети хотели стать лётчиками…
    • +219
      А стали комментаторами на хабре?
      • +18
        Одно другому не мешает.
    • +6
      Геймер — это теперь и перспективный вид спорта и профессия.
      Южнокорейский университет Чан-Ан, входящий в десятку лучших учебных заведений страны, приравнял соревнования геймеров к традиционному профессиональному спорту. Но это далеко не все: «электронный спорт» станет профессией, которой будут учить в университете.

      цитата отсюда
      • –2
        Это в Южной Корее. Там на этом заробатывают деньги. Не факт, что их опыт может быть применим к другим странам.
        • 0
          Не знаю, может у них там в Азиатско-Тихоокеанском регионе у всех так, но вот еще одна новость в тему:
          Китайских заключенных заставляли зарабатывать виртуальные деньги в World of Warcraft
          То есть если человек до зоны имел профессию «портной», то он будет одежду в цехе шить, а если «геймер», то будет прокачивать lvl на продажу.
          • 0
            Это не гейминг и не спорт.
            • +4
              это тупо органические боты для фарминга
        • +8
          Команда NaVI из Украины, по Dota 2, за последние 3 года выиграли миллиона 2-3, долларов.
          • –9
            И что? У нас в университетах начинают этому учить? Читайте сначала ветку, и ваша карма будет гладкой и шелковистой.
            • +4
              Необязательно учиться где-то, что бы потом зарабатывать деньги. Вы ещё всех программистов пересчитайте, кто из них учился, а кто самоучка.

              И да, первое правило клуба…
          • 0
            1 миллион за интернешнл. А остальные откуда? Всякие локальные турниры приносят меньше 10к. Старладдер и дримхак 10-12к за первое место. Нужно было 100-200 турниров выиграть, столько за 3 года не было, да и не всегда они выигрывают.
        • +1
          Интересно было бы посмотреть, как обучают операторов дронов. Мне кажется, хороший игрок в 3д шутеры мог бы стать оператором управляемых аппаратов (можно вспомнить фильм «Суррогаты», где солдаты сидят за операторскими креслами, а воюют роботы). Вполне себе перспективная профессия где нибудь лет через 30-50
          • +1
            Меня пугают переспективы наступления времени, когда война станет профессией для большинства.
            • 0
              Почему обязательно война? Исследование других миров, to boldly go where no man has gone before. Можно посылать управляемые аппараты в жерла вулканов, в Марианскую впадину…
              • 0
                Этих задач хватит и для 1% населения планеты, а остальным что делать?
                • 0
                  Ну я же не предлагаю решение проблемы занятости населения, просто говорю о том, какую полезную обществу работу могли бы делать геймеры в будущем. Не совсем понимаю, как ваш вопрос относится к моим предыдущим комментариям
          • +2
            • 0
              Девушка симпатичная. Это симуляция или реальную машину взорвали (непонятно из видео)
              • +2
                Девушка симпатичная.
                Забавно читать комментарии к видео по этому поводу:
                Killstrek Reaper Drone with a hot sensor operator girl

                Мне кажется это все же симуляция. Показывать реальные боевые действия не позволит их гриф секретности.
                К тому же реальные рабочие места операторов наземной станции управления БЛА «Predator» (GCS — Ground Control Station) выглядят вот так:
                Фото

                А вот так выглядит перспективная разработка от General Atomics Aeronautical Systems
                Фото

              • +1
                Симуляция. движение машины чересчур ровное, взрыв рисованый и при попадании машина остановилась мгновенно.
          • 0
            Лучше Эндера вспомнить.
    • +2
      Одно другому не мешает. Стал геймером — стал и лётчиком, и танкистом, и командиром звёздного флота. А с учётом развитися беспилотной авиации можно это совмещать не понарошку даже.
      • 0
        По настоящему беспилотную авиацию даже теоретически сделать будет невозможно — задержки на распространение управляющих воздействий слишком велики чтобы управлять шустрыми аппаратами в реальном времени. Пассажирские огромные самолеты еще управляемы поскольку они довольно инертны, но воздушный бой вести на полностью дистанционном управлении — проиграть бой за счет скорости реакции.
        Управление многими БПЛА не совсем реал-тайм, многие рутинные функции реализуются на борту — такие как стабилизация полета, удержание курса, скорости и высоты и т.д. а с поста управления поступают более обобщенные команды не требующие высокой скорости реакции.
  • +57
    5-летний ребенок взломал авторизацию Xbox Live

    И в этом весь Майкрософт.
    • +7
      Ну, бывает и куда хуже.
    • +4
      А как же байка про взлом котом MacBook'а?
    • +22
      напомнило знаменитое

      • 0
        что это, NT 4?
        • +2
          95 же

          Окно ввода пароля (да и сам login screen) в NT совсем по-другому выглядело:

          image

          Сравните с тем, что на этой gif'ке:

          • 0
            Я лет десять уже не видел NT4 и лет пятнадцать — 98-ю, так что можно было и ошибиться. Но да, в NT было именно слово «logon»
        • 0
          В NT4 такое бы никогда не прокатило.
      • +2
        Аналогично можно было раньше на многих платёжных терминалах (киосках) нажать на экран и некоторое время подержать палец. Открывалось контекстное меню, а дальше примерно как на анимации выше. :)
  • +73
    Однако, отцом Кристофера оказался специалист по компьютерной безопасности


    Какое совпадение.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Тут скорее вопрос, а был ли мальчик? И папа, конечно)
        Такой полу-sarcasm
        • НЛО прилетело и опубликовало эту надпись здесь
          • +9
            Мальчику выгодно — ему дали подписку на год
            Папе выгодно — его сыну дали подписку на год
            Майкрософту выгодно — он закрыл дыру в безопасности
            PSN выгодно — скомпрометировали XboxLive
            Мне выгодно — мой аккаунт не украдут введя пароль состоящий из пробела.

            Можно выбрать несколько.

      • +9
        Если мальчик пойдет по стопам отца, то в свое резюме он сможет вписать строчку:
        в возрасте 5 лет обнаружил критическую уязвимость в системе авторизации Xbox Live.
    • +4
      Всё очень просто. Если б папа не был специалистом по компьютерной безопасности, никто бы не догадался сообщить об уязвимости в Микрософт, и про эту историю никто бы не узнал. Вполне возможно, что таких пятилетних хакеров полно, просто их папы не репортят баги.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Все коды знает любой почтальон. Не считая того, что они одинаковые: 38, 379 и т.д., так что не в счет.
    • 0
      А если бы не оказался, мир бы не узнал эту новость… все просто.
  • +10
    Похоже на первоапрельскую шутку. Это же как нужно «ошибиться» в коде, чтобы такая уязвимость вообще имела место быть!?.. короче говоря, как по мне, информацию эту проверять нужно.
    • +19
      if (password == user.password || password == " " || password == getTime()){
        ...
      }
      
      • +8
        Не, скорее такой:
        password = password.strip(); if (password && passwod == user.password) { ... }
        • +3
          Может я чего-то не понимаю, но как в вашем коде password.strip() будет равен user.password, если пользователь ввёл " ", а сохранённый пароль был «qwerty21» к примеру?
          • +9
            Ах, понял, всё дело в грассировании ;)
            • +13
              А теперь уже у меня к вам вопрос: как вы поняли, что вышеописанный код работает? И что вы имеете в виду под словом «грассирование»? В моей жизни этим словом называли исключительно картавый прононс на французский манер, но вряд ли это имеет отношение к теме кривой проверки паролей.
              • +10
                Там в этом (неработающем) коде «passwod» без буквы «r».
                • +1
                  Как и объявления переменной «passwod», и непонятно, с чего бы ему быть.

                  Но общий мотив понятен, спасибо =).
        • 0
          >>… после введения неправильного пароля выводится окно…

          А как же это условие?
          • +1
            Как-то так:

            void signOn()
            {
            if(getPassword==password) return;
            getPassword;
            }
    • +1
      Ну, не думаю, что тот же The Register напишет про откровенный фейк.
      • +2
        BBC пару лет назад позволили себе разместить это, и ничего)
    • 0
      А может бэкдор?
      • 0
        Может быть… ссылка на TechNet есть: technet.microsoft.com/en-us/security/cc308589.aspx — тем не менее, это не отменяет возможности «одной большой и сложной шутки от Майкрософт».
        Берётся, пишется этот якобы бэкдор, информация о нём сливается мальчику и его отцу (действительно, странное совпадение....), ссылка честно попадает на TechNet technet.microsoft.com/en-us/security/cc308589.aspx, снимается сюжет с реальным видео…
        И весь Майкрософт под столом от смеха!.. А потом снимается опровержение.
  • +42
    Из «100 правил злого властелина»:
    12. Одним из моих советников будет среднестатистический пятилетний ребенок. Любые огрехи в моем плане, которые он сможет обнаружить, будут исправлены до приведения плана в действие.

    60. Моего пятилетнего советника будут просить расшифровать любой код, который я планирую использовать. Если он сделает это меньше, чем за 30 секунд, код не будет использоваться. Замечание: то же касается паролей.
    • +1
      [взял на заметку] Только как понять что ребенок среднестатистический?
      • +1
        Возьми несколько детей.
        • +3
          и усредни их
          • +4
            Нужна помощь доктора Франкенштейна.
            • +1
              или Фурье

              полученные преобразования суммировать и нормализовать
        • +4
          Дороговато выйдет, особенно если учесть, что каждый год нужны новые.
  • +2
    Майкрософт новая корпорация добра
    • –1
      Получается все проблема была в Гейтсе-Дьяволе?
  • 0
    В Америке нельзя детям давать ремня, омбудсмен накажет.
    • 0
      На Хабре нельзя писать чушь,… Ну, вы поняли.
  • +8
    Похожее было с Find my iphone в ios 7
    Вильямс обнаружил баг, из-за которого появляется возможность отключить Find My iPhone без ввода пароля, причем сделать это элементарно просто. Вот последовательность действий:
    — открыть настройки iCloud и войти в настройки учетной записи
    — в поле ввода пароля ввести произвольный набор букв или цифр
    — нажать “Готово”, после появления сообщения об ошибке нажать “Отмена”
    — вновь зайти в учетную запись, очистить поле описания
    — нажать “Готово”
    — функция Find My iPhone будет отключена
    оригинал
    • +3
      Как всё сложно… В Windows Phone достаточно вытащить симку.
    • 0
      Есть подозрение, что «отключивших» Find My iPhone таким образом ждал неприятный сюрприз при первой-же попытке активации после обновления либо восстановления.
  • +3
    >получил четыре игры, $50 и годовую подписку на Xbox Live
    не густо :( ребенку могли бы и что нить не цифровое задарить ;)
    • +5
      Грамоту, которую он бы на стенку повесил.
    • +3
      Да у него теперь практически резюме на микрософт.
    • 0
      Бочку варенья и ящик печенья, напомнило
    • +2
      Как же так, еще и что-то дарить стоящее денег? Нет… давайте же подарим подписку на год, за год он подсядет и в последующие годы будет НАМ денег приносить. И даже тратится не нужно, и вроде как «поощрили». Но реальных денег заплачено-то не было, даже наоборот — поимели клиента который потом денег сам принесет. Такая вот политика…
    • +4
      Хоть в суд не подали и на том спасибо.
  • +4
    Мы серьезно относимся к безопасности Xbox


    Мы вас поняли, ага
  • +13
    А может пробел просто и был паролем?
    • +1
      Я думаю, в этом случае отец вряд ли бы стал обращаться в Майкрософт )
      • +2
        Может они тоже подумали, что в этом случае он бы вряд ли обратился?
    • +1
      CIA совсем обленилось.
  • +29
    Дети со всего мира: Спасибо Кристофер! Ты нас обломал…
  • +10
    моё дитё лет в 6 хакнул телевизор с заблочеными мульт-каналами — оказалось системный пароль 7777 :(
    • +15
      xxx: да что ты знаешь об упорстве?
      xxx: самый суровый экзамен на выдержку моего детства — подбор пароля к закрытым спутниковым каналам моего отца. с пульта. с пятисекундной паузой между неверными вариантами. нужно было угадать пять символов.
      xxx: 200 рабочих дней (примерно пятьдесят недель, с учетом праздников, выходных и неожиданных приездов бабушки) по часу между моим приходом из школы и родителей с работы. 500 паролей в день. и гребаный пароль «99987»
      xxx: и — фаталити. там не оказалось порноканалов
      #415023
      • +6
        В свое время также подбирал пароль из 4 символов на телевизоре. Задержки там не было, поэтому справился меньше, чем за рабочий день родителей :) Причем подобрал пароль уже на следующий день после его установки :) И потом, помню, около года безнаказанно мультики смотрел и так далее))

        В истории с Bash один только момент. Неужели за 200 дней хотя бы примерно нельзя было увидеть, куда отец жмет на пульте? :) Здесь же явно задействован только нижний ряд кнопок и солидную часть перебора можно было исключить смело.
        • +1
          Допускаю, что его отец мог и сам эти каналы не включать.
  • +5
    Нажать пробел — это не фокус )
    У меня ребенок 3 года от роду запоминает как я пароль на телефоне набираю для покупки игрушек в play.market… И покупает!
    • +9
      О… Брат по несчастью… И насколько тебя твое разумное существо развело?

      PS Кстати, именно после этой «аварии» я понял, что f2p это зло…
    • 0
      У меня мелкий (3 с небольшим года) сам догадался как включить камеру на Xperia с Android 4, защищенном графическим ключом. Я честно говоря и не знал что так можно в принципе.
  • +23
    пустил скупую слезу, увидев правильное написание «5-летний» вместо безграмотного «5-ти летний»
    • +21
      А я пустил скупую слезу, увидев предложение, начинающееся с маленькой буквы и без точки в конце. :)
      Хороших вам выходных!
      • –35
        это мой стиль написания при личном общении
        в статьях и деловой переписке использую все правила
        • +57
          А дАвАйТе ВсЕ БуДуТ пИсАтЬ в СвОёМ НеПоВтОрИмОм СтИлЕ!!!!!!!!!
        • +20
          Многие используют такой стиль написания при личном общении. Но ведь комментарий на хабре — не личная переписка вконтакте :)
          • –18
            если комментарий «тянет» на статью, то можно и более строго оформить
            но такое бывает очень редко
            • +7
              Правила сайта, касающиеся грамотности, в равной степени относятся ко блогозаписям и к комментариям.
              • +1
                … и к мыслям, подуманным в момент чтения сайта.
              • –6
                я сознательно нарушаю эти два правила — пишу с маленькой буквы и не ставлю точку в конце — по вполне обоснованным причинам

                я немало лет профрилансил переводчиком и в итоге заработал туннельный синдром (благо он несильно успел развиться)
                с тех пор я экономлю каждое нажатие клавиши, потому как мне моё здоровье дороже
                я даже точку с запятой поменял местами в раскладке, потому что запятая нажимается гораздо чаще точки, а для точки теперь нужен Shift

                кроме того, логика предложений при моём подходе не нарушается, смысл передаётся чётко и понятно
                я никого не заставляю использовать мой стиль, но и отказываться от него в ущерб своему здоровью не собираюсь
                • 0
                  точку с запятой поменял местами… с чем? а, в этом смысле
                • 0
                  Да вы, похоже, поменяли местами точку и 'Enter'. И если вместо точки вставлять перевод строки, то нажатие кнопки не экономится.
                  • –1
                    экономится
                    не забываем, что теперь у меня точка вводится двумя клавишами, а после последнего предложения вообще ничего не нужно вводить
                    • 0
                      Вы можете использовать альтернативные способы ввода, или альтернативные клавиатуры. Но читателей уважать надо.
                      • –2
                        тогда я прошу уважения и к себе
                        каждая ненажатая клавиша уменьшает боль в моём запястном канале в конце дня
                        • 0
                          Я прекрасно понимаю о чём вы говорите. Но к сожалению в потоке сотен сообщений нельзя иметь индивидуальный подход к каждому. Поэтому у вас три варианта развития событий:
                          1. Смериться с тем, что всем будет всегда мозолить глаза манера вашего написания.
                          2. Попробовать изменить мир вокруг для себя, и для людей со схожей для вас проблемой: когда-то слепой сын сапожника изобрёл шрифт Брайля
                          3. Найти способ писать правильно, но и так, чтобы ваши запястные каналы не болели. Как я писал выше, для этого можно использовать альтернативные способы ввода, такие как голосовой ввод или рукописный. Или так же для этого можно использовать альтернативные клавиатуры

                          • 0
                            У меня, к примеру, не лучшее зрение. Чтобы его не напрягать мне было бы легче ПИСАТЬ ВОТ ТАК. ТАКИМ ОБРАЗОМ ТЕКСТ ЧИТАЕТСЯ ЛЕГКО И БЫСТРО, ХОТЬ ЗНАКИ ПРЕПИНАНИЯ И ТЕРЯЮТСЯ КАК ЁЖИКИ В СОСНОВОМ БОРУ. Но я так не делаю, потому что понимаю, что это несильно обрадует читателей. Если у меня возникают проблемы, чтобы глаза не болели я увеличиваю текст всей страницы, и это не влияет на вид финального сообщения.
                • +4
                  Поберегите свое здоровье! Прекратите писать комментарии на хабре и прочих ресурсах. Да и вообще, продайте комп и едьте в деревню!
                  • –2
                    жаль, что не могу поставить плюс
                    • +1
                      Количества символов которые вы написали в этом бесполезном комментарии, если бы не на все, но на половину ваших комментариев хватило бы, чтобы понажимать «shift» и «.». Так что, не утруждайте себя отвечая мне бессмысленными комментариями, лучше пишите предложения с большой буквы, и завершайте их соответствующим знаком препинания.
                      Уважайте общество и посетите невролога!
                • 0
                  Однажды несколько лет назад я получил от смотрящих Хабра пару неделек read only именно за то, что начинал предложения в комментариях с маленьких букв.

                  Если вас сейчас не забанят, можно будет смело сказать: «Хабр уже не торт!» :)
        • 0
          И все же тут не анонимная имиджборда.
          • 0
            Анонимятся тут в основном те, кто ничего не делает.
  • +12
    Я такой фильм видел. Теперь за малым будет охотиться киллер, а Брюс Уиллис будет его спасать.
    • +1
      А я не только видел, но и название его запомнил. «Mercury Rising».
      • 0
        Фильм хорош. Хотя как мне кажется сюжет абсолютное фэнтези.
  • +2
    Мы один раз на курсах по информатике с товарищем почти также зашли на администраторский комп… не помню, то ли пустой пароль, то ли просто ESC. Но эйфория была весьма на высоком уровне… Представляю, какие чувства пацан пережил в момент успешной авторизации. :)
    • +2
      Думаю не такие сильные как вы — для него это намного менее осознанный успех. «Все так и должно быть!»
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        Деакларировалась только защита доступа сохранённым паролям и тому подобному. И нажав «esc» вы этого доступа не получали.
      • 0
        Да, войти можно было но без подключения к сети, в этом режиме не было доступно сетевое окружение.
  • +1
    Мой сын лет до 10 успешно обходил все системы защиты, которые я ставил на комп, чтобы помешать ему играть вместо уроков. Но потом это свойство рассосалось само собой.
    • +6
      Как я понимаю, ваши средства защиты пароли в себя не включали?
      Или он из тех, кто потрошил шерстяные носки на ниточки?
      • 0
        Пароль на BIOS сбрасывался лёгким движением перемычки. Но т.к. это вызывало некоторое негодование родителей и установку нового пароля, то позже была написана программа, которая прикидывалась биосом и просила ввести пароль, после чего изображалась типа загрузка винды, и со словами «компьютер выключился, нужно опять ввести пароль». Больше проблем с паролем не возникало.
  • +5
    А там в списке людей еще фигурирует Bo0oM, это тот, который Bo0oM?
    • +11
      Есть немного :)
  • 0
    Вспомнилось, как в Windows XP часто можно было зайти в систему через Ctrl+Alt+Del (чтобы появилась форма ручного ввода логина), логин «Администратор» и пустой пароль. Правда не всегда работало, уже и не вспомню, почему.
    • +11
      Потому что люди создавали Администраторский аккаунт без пароля?
      • +4
        Нет, потому, что он сам создавался. При установке же спрашивает «пароль администратора», кто-то не запонял — вот и получался без пароля.
        • 0
          Вообще то не важно какой пользователь был создан — при загрузке в защищенном режиме появлялся еще один пользователь «Администратор» и если ему в защищенном же режиме никто не выставил пароля, то это был эпичная такая дыра.
  • +2
    Самым познавательным для нас несколько лет назад стало написание казалось бы банального модуля голосований для одного из сайтов для школьников. Проблема была в том, что сумасшедшие дети с незамутненными мозгами умудрялись находить кучу способов обходить большую часть защит от накруток. Наша команда из принципа вела логи действий пользователей, по ним отслеживали куда лезут эти детишки и старательно все закрывали.
    • 0
      И как? Все закрыли?
      • +1
        Ну одно я понял: в случае с детьми никогда не можешь точно сказать, все ты предусмотрел или нет. Что нашли — закрыли, а что они придумают в следующий раз, даже предполагать невозможно.
        • 0
          Почему же, обойдут систему логирования…
          • 0
            Обойдут систему логов сервера? Ну тогда этим Кевинам Митникам только Пентагон ломать, а не накручивать голоса за лучшего учителя русского и литературы…
  • 0
    Давай-те будем честными: Microsoft такой же жмот как и папа

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.