Przedstawiciele Microsoftu, Mozilli, Nokii oraz Apple raczej nie mają powodów do dumy - już pierwszego dnia konkursu hakerskiego Pwn2Own zabezpieczenia ich produktów zostały sforsowane. Hakerzy bez szczególnych problemów zdołali włamać się do iPhone'a, Symbiana S60, Safari uruchomionego w Snow Leopardzie, a także Internet Explorera 8 i Firefoksa 3.6 w Windows 7. Co ważne, we wszystkich przypadkach atak nastąpił zdalnie , bez fizycznego dostępu do maszyny (pierwszego dnia dozwolona była tylko taka metoda).
Bohaterem dnia pierwszego jest bez wątpienia Charlie Miller (zdjęcie poniżej) - amerykański specjalista, który zgodnie z obietnicą włamał się do Safari Apple'a. Wyczyn ten jest o tyle szczególny, że Miller zrobił to po raz trzeci z rzędu (ta sama sztuka udała mu się na Pwn2Own 2008 i 2009), a na dodatek całe włamanie znów zajęło mu zaledwie kilka minut. Specjalista zgarnął 10 tys. USD nagrody oraz Macbooka, do którego się włamał. Warto dodać, że Safari to w przypadku Millera dość oczywisty cel - Amerykanin jest jednym z najlepszych na świecie ekspertów od bezpieczeństwa produktów Apple. To właśnie on przed dwoma laty jako pierwszy włamał się do iPhone'a, a ostatnio zapowiadał :
Wszystko wydaje się potencjalnym celem. Bardzo chciałbym włamać się do jednego z urządzeń przenośnych, ale pewnie znowu skończy się na włamywaniu do Safari.
Charlie Miller (fot. Tippingpoint.com) fot. Tippingpoint.com
Od czasu pierwszego włamania Millera Apple już kilkakrotnie uaktualniał oprogramowanie swojego smartfona - ale to nie przeszkodziło innym uczestnikom konkursu w sforsowaniu zabezpieczeń urządzenia. Dokonali tego wspólnymi siłami Ralf Philipp Weinmann oraz Vincenzo Iozzo. Serwis CNet.com informuje , że mózgiem operacji był Iozzo, który miał jednak problemy z dotarciem do Vancouver, dlatego też atak zgodnie z jego wskazówkami poprowadził Weinmann. Tak czy owak, udało się - specjaliści zdołali uzyskać nieautoryzowany dostęp do urządzenia i m.in. przejąć zapisane w pamięci wiadomości (dostali za to 15 tys. USD i iPhone'a). Wiadomo, że wykorzystali do tego lukę w iPhone'owej wersji Safari .
Warto dodać, że nieco później do iPhone'a zdołał się włamać również inny - anonimowy - uczestnik Pwn2Own (ale nagrody nie dostał, bo liczy się kolejność). Na stronie organizatora napisano też, że jeden z uczestników zdołał również włamać się do Nokii z Symbianem S60, ale szczegółowych informacji na ten temat na razie nie podano.
Pokonany został również Internet Explorer 8, czyli najnowsza i ponoć najbezpieczniejsza wersja przeglądarki Microsoftu. Włamał się do niej Holender Peter Vreugdenhil - zdaniem organizatorów konkursu jego wyczyn jest szczególnie interesujący, ponieważ specjalista nie tylko znalazł i wykorzystał nieznaną wcześniej lukę w zabezpieczeniach IE8 , ale na dodatek zdołał ominąć domyślnie włączony w Windows 7 mechanizm zabezpieczający DEP (który zaprojektowano właśnie po to, by blokować możliwość wykorzystania luk w aplikacjach do atakowania systemu). Vreugdenhil zainkasował 10 tys. USD i zabrał do domu komputer, do którego się włamał.
Do IE próbował włamać się również inny uczestnik konkursu - ale organizatorzy jeszcze oficjalnie nie potwierdzili, czy mu się udało (trwa analizowanie wykorzystanego przez niego exploita).
Hakerom nie oparł się również najnowszy Firefox - włamał się do niego niejaki Nils (specjalista nie podał swojego nazwiska). Nie sprawiło mu to większych problemów - ale trudno się dziwić, bo to doświadczony haker (dość wspomnieć, że podczas poprzednich edycji Pwn2Own włamał się do IE, Safari i Firefoksa ), który na dodatek zdołał jeszcze wczoraj pokonać zabezpieczenia Safari (ale Iozzo i Weinmann byli pierwsi, więc Nils nagrody nie dostał).
Organizatorzy konkursu na razie poinformowali wyłącznie o udanych próbach włamań - to oznacza, że do tej pory nikt nie włamał do przeglądarki Chrome oraz smartfona z Androidem (Motoroli Droid), a także do urządzenia Blackberry firmy RIM. Nie wiadomo jednak na razie, czy przeglądarka i mobilne OS-y oparły się próbom ataku, czy może raczej nikt nie próbował tego zrobić pierwszego dnia. Tak czy owak, niewykluczone, że do próby sforsowania ich zabezpieczeń dojdzie dziś lub jutro.
Warto wspomnieć, że każdego kolejnego dnia konkursu przeprowadzanie ataków staje się coraz łatwiejsze . Regulamin przewiduje, że pierwszego dnia komputery można atakować tylko zdalnie, bez fizycznego dostępu do maszyn. Drugiego dnia hakerzy mogą zasiąść przed atakowanym komputerem, zaś trzeciego mogą dodatkowo zainstalować w systemie jakieś popularne aplikacje lub wtyczki (i próbować wykorzystać luki w nich).
Szczegółowych informacji na temat wykorzystanych do tej pory błędów nie podano - ale skoro IE, Safari, Firefox, Symbian i iPhone "padły" już pierwszego dnia, to znaczy, że wykorzystane przez hakerów luki umożliwiały zdalne uruchomienie złośliwego kodu (były to więc typowe błędy krytyczne - czyli najgroźniejsze, jakie mogą występować w oprogramowaniu).
Warto dodać, że wszystkie ujawnione podczas konkursu luki zostaną przeanalizowane przez ekspertów z firmy Tipping Point (organizatora i sponsora konkursu), którzy następnie przekażą pełne dane na ich temat producentom dziurawych aplikacji.
Daniel Cieślak