Zwycięzca Pwn2Own: Znów włamię się do Safari

Od kilku lat podczas poświęconej bezpieczeństwu informatycznemu konferencji CanSecWest odbywa się konkurs hakerski Pwn2Own - jego uczestnicy mają za zadanie włamać się do udostępnionych im komputerów z Windows i Mac OS X (w przeszłości pojawiał się również Linux, ale w tym roku go nie będzie). Mogą atakować sam system lub zainstalowane w nim popularne aplikacje. W dwóch poprzednich edycjach tryumfował amerykański specjalista Charlie Miller - dwukrotnie bez większego problemu włamał się do Mac OS X przez luki w przeglądarce Safari. Miller zasłynął też tym, że jako pierwszy włamał się do iPhone'a.

Nic więc dziwnego, że również tym razem zamierza wziąć na celownik oprogramowanie firmy Apple - zapowiedział to już w rozmowie z włoskim serwisem Oneitsecurity.it. Na pytanie o to, do jakiego oprogramowania ma zamiar włamać się w pierwszej kolejności, odpowiedział:

Na tym etapie wszystko wydaje się potencjalnym celem. Bardzo chciałbym włamać się do jednego z urządzeń przenośnych, ale pewnie znowu skończy się na włamywaniu do Safari.

Miller został też zapytany o to, który z najnowszych systemów - Windows 7 czy Snow Leopard - jest jego zdaniem lepiej zabezpieczony:

Windows 7 jest nieco trudniejszy do zaatakowania, bo ma pełny ASLR (Address space layout randomization) oraz mniejszą domyślną powierzchnię ataku - nie ma w nim standardowo zainstalowanego Flasha czy Javy (...) Ale warto pamiętać, że niedawno na konferencji Black Hat zaprezentowano metody obchodzenia tych zabezpieczeń w "siódemce".

Dość zaskakująca była odpowiedź na pytanie o to, czy Linux jest najtrudniejszy do zaatakowania:

Zaatakowanie Linuksa jest prawdopodobnie łatwiejsze [niż w przypadku systemów o których mowa powyżej - red.] - choć oczywiście wiele zależy od tego, o jakiej odmianie tego systemu mówimy. Organizatorzy zdecydowali się jednak nie wykorzystywać w konkursie komputera z Linuksem, bo zbyt mało osób z niego korzysta [rok temu jednym z celów był komputer z Ubuntu - nikt się do niego nie włamał, bo nikt nie próbował - red.]

Miller dodał też, że obecnie najsłabszym ogniwem w bezpieczeństwie komputerów osobistych jest... technologia flash. Gdy zapytano go, którą z popularnych przeglądarek dla Windows uważa za najbezpieczniejszą, odparł, że nie ma to większego znaczenia - może to być IE8 lub Chrome - byle tylko użytkownik nie instalował w niej Flasha.

Tegoroczna edycja konkursu Pwn2Own odbędzie się w dniach 24 - 26 marca. Uczestnicy będą atakowali komputery z Windows 7, Vistą i XP, a także Snow Leopardem i Leopardem (początkowo będą dostępne tylko Win7 i Snow Leopard - jeśli nikt się do nich nie włamie, pojawią się również starsze wersje). Na liście przeglądarek znajdą się Microsoft Internet Explorer (IE 8 w Windows 7, IE7 w Viście i XP), Mozilla Firefox 3, Google Chrome 4 oraz Apple Safari 4. Jeśli chodzi o urządzenia mobilne, to uczestnicy będą mieli do wyboru platformy Apple iPhone, Nokia Symbian, RIM BlackBerry oraz Google Android. W każdej kategorii podstawowym kryterium doboru była popularność danego oprogramowania.

Dodajmy, że za włamanie się przez nieznany wcześniej błąd do przeglądarki lub systemu operacyjnego na komputerze uczestnik otrzyma 10 tys. USD (+ ów komputer). W przypadku urządzeń mobilnych stawki są wyższe - 15 tys. USD (+ smartfon).

Daniel Cieślak