|
Vain yksi voi jäädä eloon, ja tässä tapauksessa se on ollut Googlen tähtiselain. iPhone, Safari, Explorer ja jopa vakiintunut Firefox ovat pudonneet ongelmitta maailman parhaiden hakkereiden käsiin, jotka tapaavat joka vuosi Kanadassa yrittäen tuhota tämän hetken tunnetuimmat järjestelmät ja huomauttaa heidän turvallisuusvirheistään. He eivät kuitenkaan ole kyenneet rikkomaan ankaraa "hiekkalaatikkotilaa", joka suojaa Chromea, kolossiä, joka on vastustanut planeetan parhaiden tietotekniikan asiantuntijoiden hyökkäyksiä. |
Vuosittainen Pwn2Own-kilpailu CanSecWest-tietoturmamessuilla Vancouverissa tarjoaa täydellisen ympäristön maailman parhaimmille tietoturva-asiantuntijoille, jotta he voivat käydä täydessä vauhdissa kaikenlaisia kuumia laitteita ja ohjelmistoja vastaan. Vuosittain he onnistuvat kiertämään turvallisuusesteitä, joita tarkasteltavat järjestelmät yrittävät asettaa, mutta vain harvoilla on kunnia päästä kilpailun loppuun ilman yhtä vikaa.
Ensimmäisenä putosi onnistunut Apple iPhone, Vincenzo Iozzo ja Ralf Philipp Weinmann tarvitsivat vain 20 sekuntia tehdäksesi huijata hetken kysytyimmistä laitteista. Hakkerit vain saivat iPhonen (ilman jailbreakia) siirtymään heidän aiemmin kehittämäänsä sivustoon, josta he kopioivat koko SMS-tietokannan (jopa poistetut) palvelimilleen. He totesivat, että huolimatta Applen pyrkimyksistä estää nämä aukot "tapa, jolla koodin allekirjoittaminen toteutettiin, on liian lempeä". He voittivat 15.000 XNUMX dollaria tästä älykkyysesittelystä, ja heti kun omena-yritys korjaa tietoturvaongelman, pääsyn yksityiskohdat näytetään.
Riippumattomien tietoturva-arvioijien pääturvallisuusanalyytikko Charlie Miller onnistui hakkeroimaan Safarin MacBook Prossa, jossa oli Snow Leopard ja ei fyysistä pääsyä, ja ansaitsi 10,000 dollaria. Tämä vanha tapahtumakoira onnistuu tuhoamaan Applen omistaman laitteen vuosittain. Näyttää siltä, että hän on ottanut brändin sykkeen. Ei vahingoittaisi sitä, että yritys palkkaisi hänet selvittämään, voivatko he lopullisesti lopettaa tuotteidensa turvallisuusvirheet.
Riippumaton tietoturvatutkija Peter Vreugdenhil voitti saman verran Internet Explorer 8: n hakkeroinnista, mikä ei enää yllättä ketään nähdäkseen yhtä ja toista versiota, koska hänet ehdottavat asiantuntijat hyökkäävät. IE8: n hakkeroimiseksi Vreugdenhil väitti hyödyntäneensä kaksi haavoittuvuutta neliosaisessa hyökkäyksessä, joka ohitti ASLR: n (Address Space Layout Randomization) ja DEP (Data Execution Prevention), jotka on suunniteltu estämään selaimen hyökkäykset. Kuten muissakin yrityksissä, järjestelmä vaarantui, kun selain vieraili sivustolla, joka isännöi haitallista koodia. Päätös antoi hänelle oikeudet tietokoneeseen, jonka hän osoitti suorittamalla koneen laskinta.
Firefoxin oli myös taivutettava polvi Nilsin, MWR InfoSecurity -tutkimusjohtajan, oveluuteen, joka teki 10,000 XNUMX dollaria alhaisemmasta selainhaavoittuvuudesta, joka pitää Microsoftin helposti. Nils kertoi hyödyntäneensä muistivirheitä ja joutuneensa myös voittamaan ASLR: n ja DEP: n Mozilla-sovelluksen virheen ansiosta.
Ja lopuksi ainoa pysynyt pysyvänä on ollut Chrome. Toistaiseksi se on ainoa selain, joka on voittamaton, mikä on jo saavutettu tämän vuoden 2009 Kanadassa tapahtuvan tapahtuman aikana ja jolla pyritään varoittamaan käyttäjiä ohjelmien haavoittuvuuksista. "Chromessa on puutteita, mutta niitä on hyvin vaikea hyödyntää. He suunnittelivat hiekkalaatikkomallin (hiekkalaatikko), jota on erittäin vaikea rikkoa ", kertoi kuuluisa hakkeri Charlie Miller, joka onnistui tässä versiossa ottamaan hallintaansa Safarin MacBook Prolla.
lähde: Neoteo ja Segu-Info ja ZDNet