|
רק אחד יכול להישאר בחיים ובמקרה זה זה היה דפדפן הכוכבים של גוגל. אייפון, ספארי, אקספלורר ואפילו פיירפוקס הוקמה נפלו ללא בעיות לידי מיטב ההאקרים בעולם שנפגשים מדי שנה בקנדה כדי לנסות להרוס את המערכות המפורסמות ביותר של הרגע ולהצביע על פגמי האבטחה שלהם. עם זאת, הם לא הצליחו להפר את מצב "ארגז החול" הקשה המגן על Chrome, קולוסוס שהתנגד להתקפות טובי מומחי המחשבים על פני כדור הארץ. |
תחרות Pwn2Own השנתית ביריד האבטחה CanSecWest בוונקובר מספקת את הסביבה המושלמת עבור מיטב מומחי אבטחת ה- IT העולמיים לעסוק במלוא המרץ נגד כל מיני גאדג'טים ותוכנות חמים. שנה אחר שנה הם מצליחים לעקוף את מכשולי האבטחה שהמערכות הנבדקות מבקשות להטיל, אך רק למעטים מהם יש את הכבוד להגיע לסוף התחרות ללא כישלון אחד.
הראשון שנפל היה האייפון המצליח של אפל, וינצ'נצו יוזו וראלף פיליפ ויינמן היו זקוקים רק ל -20 שניות כדי להטעות את המכשיר המבוקש ביותר של הרגע. ההאקרים רק גרמו לאייפון (בלי jailbreak) להיכנס לאתר שפותח בעבר על ידו, ממנו הם העתיקו את כל מאגר ה- SMS (אפילו אלה שנמחקו) לשרתים שלהם. הם הצהירו כי למרות מאמציה של אפל למנוע פערים אלה, "הדרך בה יישמו חתימת קוד היא קלה מדי." הם זכו ב -15.000 דולר עבור הפגנת מודיעין זו וברגע שחברת התפוחים תתקן את באג האבטחה, פרטי הגישה יוצגו.
צ'רלי מילר, אנליסט אבטחה ראשי בחוקרי הערכת אבטחה עצמאיים, הצליח לפרוץ את ספארי ל- MacBook Pro עם Snow Leopard וללא גישה פיזית, והרוויח 10,000 דולר. כלב האירועים הוותיק הזה מצליח לפרוץ מדי שנה מכשיר שבבעלות אפל. נראה שהוא לקח את הדופק של המותג. לא יזיק לחברה להעסיק אותו לבדוק האם אחת ולתמיד הם יכולים לסיים את פגמי האבטחה במוצריהם.
חוקר האבטחה העצמאי פיטר ורוגדנהיל זכה באותה סכום עבור הפריצה לאינטרנט אקספלורר 8, שכבר לא מפתיעה אף אחד לראות מהדורה זו ואחרת, שכן הוא נדהם על ידי כל מומחה שמציע זאת. כדי לפרוץ את IE8 טען Vreugdenhil שניצל נקודות תורפה במתקפה בת ארבעה חלקים שעקפה את ASLR (Randomization Address Space Layout Randomization) ו- DEP (מניעת ביצוע נתונים), שנועדו לעזור לעצור התקפות דפדפנים. כמו בניסיונות אחרים, המערכת נפגעה כאשר הדפדפן ביקר באתר שמארח קוד זדוני. פסק הדין העניק לו זכויות למחשב, אותן הדגים באמצעות הפעלת מחשבון המכונה.
פיירפוקס נאלצה גם לכופף את הברך לערמומיותו של נילס, ראש המחקר בבריטניה של MWR InfoSecurity, שהרוויח 10,000 דולר מהפגיעות בדפדפן שמניחה את מיקרוסופט בנוח. נילס אמר כי הוא ניצל פגיעות בשחיתות בזיכרון ונאלץ להתגבר על ASLR ו- DEP הודות לבאג ביישום מוזילה.
ולבסוף, היחיד שנשאר עומד הוא Chrome. עד כה זהו הדפדפן היחיד שנותר ללא הפסד, דבר שכבר השיג במהלך מהדורת 2009 של האירוע הזה שמתרחש בקנדה ושמבקש להזהיר משתמשים מפני נקודות התורפה של התוכניות. "יש פגמים בכרום, אך קשה מאוד לנצל אותם. הם תכננו מודל 'ארגז חול', שקשה מאוד לפרוץ אותו ", אמר צ'רלי מילר, ההאקר המפורסם, שבמהדורה זו הצליח להשתלט על ספארי ב- Macbook Pro.
מקור: Neoteo ו- Segu-Info ו- ZDNET