|
Μόνο ένας μπορεί να παραμείνει ζωντανός και σε αυτήν την περίπτωση ήταν το πρόγραμμα περιήγησης αστεριών της Google. Το iPhone, το Safari, ο Explorer και ακόμη και ο εγκατεστημένος Firefox έπεσαν χωρίς προβλήματα στα χέρια των καλύτερων χάκερ στον κόσμο που συναντώνται κάθε χρόνο στον Καναδά για να προσπαθήσουν να καταστρέψουν τα πιο διάσημα συστήματα της στιγμής και να επισημάνουν τα ελαττώματα ασφαλείας τους. Ωστόσο, δεν μπόρεσαν να παραβιάσουν τη σκληρή λειτουργία sandbox που προστατεύει το Chrome, έναν κολοσσό που αντέχει στις επιθέσεις των καλύτερων ειδικών υπολογιστών στον πλανήτη. |
Ο ετήσιος διαγωνισμός Pwn2Own στην έκθεση ασφάλειας CanSecWest στο Βανκούβερ παρέχει το τέλειο περιβάλλον για τους καλύτερους ειδικούς στον τομέα της ασφάλειας στον τομέα της πληροφορικής στον κόσμο να ασχοληθούν πλήρως με όλα τα είδη καυτών συσκευών και λογισμικού. Χρόνο με το χρόνο, καταφέρνουν να παρακάμψουν τα εμπόδια ασφαλείας που προσπαθούν να επιβάλουν τα υπό εξέταση συστήματα, αλλά μόνο λίγα έχουν την τιμή να φτάσουν στο τέλος του διαγωνισμού χωρίς καμία αποτυχία.
Το πρώτο που έπεσε ήταν το επιτυχημένο iPhone της Apple, οι Vincenzo Iozzo και Ralf Philipp Weinmann χρειάστηκαν μόνο 20 δευτερόλεπτα για να ξεγελάσουν την πιο απαιτητική συσκευή της στιγμής. Οι χάκερ έκαναν μόνο το iPhone (χωρίς jailbreak) να εισέλθει σε έναν ιστότοπο που είχε αναπτύξει προηγουμένως από αυτούς, από όπου αντιγράφουν ολόκληρη τη βάση δεδομένων SMS (ακόμη και τις διαγραμμένες) στους διακομιστές τους. Δήλωσαν ότι παρά τις προσπάθειες της Apple να αποτρέψει αυτά τα κενά, "ο τρόπος με τον οποίο εφάρμοσαν την υπογραφή κώδικα είναι πολύ επιεικής". Κέρδισαν 15.000 $ για αυτήν την επίδειξη πληροφοριών και μόλις η εταιρεία μήλων διορθώσει το σφάλμα ασφαλείας, θα εμφανιστούν οι λεπτομέρειες της πρόσβασης.
Ο Τσάρλι Μίλερ, κύριος αναλυτής ασφαλείας στους ανεξάρτητους αξιολογητές ασφαλείας, κατάφερε να χαράξει το Safari σε MacBook Pro με το Snow Leopard και χωρίς φυσική πρόσβαση, κερδίζοντας 10,000 $. Αυτό το παλιό σκυλί εκδηλώσεων καταφέρνει να καταστρέψει μια συσκευή που ανήκει στην Apple κάθε χρόνο. Φαίνεται ότι έχει πάρει το σφυγμό της μάρκας. Δεν θα ήταν κακό για την εταιρεία να τον προσλάβει για να δει αν μια για πάντα μπορούν να τερματίσουν τα ελαττώματα ασφαλείας στα προϊόντα τους.
Ο ανεξάρτητος ερευνητής ασφαλείας Peter Vreugdenhil κέρδισε το ίδιο ποσό για το hack του Internet Explorer 8, το οποίο δεν εκπλήσσει πλέον κανέναν να δει μια έκδοση και μια άλλη επίσης, καθώς χτυπιέται από τις επιθέσεις οποιουδήποτε ειδικού που την προτείνει. Για να πειραχτεί το IE8, ο Vreugdenhil ισχυρίστηκε ότι είχε εκμεταλλευτεί δύο ευπάθειες σε μια επίθεση τεσσάρων τμημάτων που παρακάμπτει το ASLR (Διεύθυνση Space Layout Randomization) και το DEP (Data Execution Prevention), τα οποία έχουν σχεδιαστεί για να βοηθήσουν στη διακοπή επιθέσεων στο πρόγραμμα περιήγησης. Όπως και σε άλλες προσπάθειες, το σύστημα διακυβεύτηκε όταν το πρόγραμμα περιήγησης επισκέφτηκε έναν ιστότοπο που φιλοξενεί κακόβουλο κώδικα. Η απόφαση του έδωσε δικαιώματα στον υπολογιστή, το οποίο απέδειξε εκτελώντας την αριθμομηχανή του μηχανήματος.
Ο Firefox έπρεπε επίσης να λυγίσει το μυαλό του Nils, επικεφαλής έρευνας του Ηνωμένου Βασιλείου στο MWR InfoSecurity, ο οποίος κέρδισε 10,000 $ από την ευπάθεια του προγράμματος περιήγησης που εμποδίζει τη Microsoft να κοιμηθεί. Ο Nils είπε ότι εκμεταλλεύτηκε μια ευπάθεια στη διαφθορά μνήμης και έπρεπε επίσης να ξεπεράσει τα ASLR και DEP χάρη σε ένα σφάλμα στην εφαρμογή του Mozilla.
Και τέλος, το μόνο που έχει παραμείνει είναι το Chrome. Μέχρι στιγμής είναι το μοναδικό πρόγραμμα περιήγησης που παραμένει αήττητο, κάτι που είχε ήδη επιτύχει κατά τη διάρκεια της έκδοσης 2009 αυτού του γεγονότος που λαμβάνει χώρα στον Καναδά και επιδιώκει να προειδοποιήσει τους χρήστες για ευπάθειες του προγράμματος. «Υπάρχουν ελαττώματα στο Chrome, αλλά είναι πολύ δύσκολο να αξιοποιηθούν. Σχεδίασαν ένα μοντέλο «sandbox» (sandbox), το οποίο είναι πολύ δύσκολο να παραβιαστεί », δήλωσε ο Charlie Miller, ο διάσημος χάκερ, ο οποίος σε αυτήν την έκδοση κατάφερε να αναλάβει τον έλεγχο του Safari σε ένα Macbook Pro.
πηγή: Neoteo και Segu-Info και ZDNET