|
Tikai viens var palikt dzīvs, un šajā gadījumā tas ir bijis Google zvaigznīšu pārlūks. iPhone, Safari, Explorer un pat izveidotais Firefox bez problēmām ir nonācis pasaules labāko hakeru rokās, kuri katru gadu tiekas Kanādā, lai mēģinātu iznīcināt šī brīža slavenākās sistēmas un norādīt uz viņu drošības trūkumiem. Tomēr viņiem nav izdevies pārkāpt skarbo "smilšu kastes" režīmu, kas aizsargā pārlūku Chrome - kolosu, kurš pretojās planētas labāko datoru ekspertu uzbrukumiem. |
Ikgadējais Pwn2Own konkurss CanSecWest drošības izstādē Vankūverā nodrošina lielisku vidi pasaules labākajiem IT drošības ekspertiem pilnā sparā iesaistīties visu veidu karstajos sīkrīkos un programmatūrā. Gadu no gada viņiem izdodas apiet drošības šķēršļus, kurus cenšas uzlikt pārskatāmās sistēmas, taču tikai retajam ir tas gods sasniegt konkursa beigas bez vienas neveiksmes.
Pirmie nokrita veiksmīgais Apple iPhone, Vinčenco Iozzo un Ralfam Filipam Veinmanam vajadzēja tikai 20 sekundes, lai padarītu nejēgu par šī brīža vispieprasītāko ierīci. Hakeri tikai lika iPhone (bez jailbreak) iekļūt viņu iepriekš izstrādātajā vietnē, no kuras viņi nokopēja visu SMS datu bāzi (pat izdzēstās) uz saviem serveriem. Viņi paziņoja, ka, neskatoties uz Apple centieniem novērst šīs nepilnības, "veids, kā viņi ieviesa koda parakstīšanu, ir pārāk saudzīgs". Viņi ieguva 15.000 XNUMX USD par šo izlūkošanas demonstrāciju, un tiklīdz ābolu kompānija novērsīs drošības kļūdu, tiks parādīta piekļuves informācija.
Neatkarīgo drošības vērtētāju galvenajam drošības analītiķim Čārlijam Milleram izdevās uzlauzt Safari MacBook Pro ar Snow Leopard un bez fiziskas piekļuves, nopelnot 10,000 XNUMX USD. Šis vecais notikumu suns katru gadu izdodas iznīcināt Apple piederošo ierīci. Šķiet, ka viņš ir uzņēmis zīmola pulsu. Uzņēmumam nebūtu kaitīgi viņu pieņemt darbā, lai redzētu, vai viņi vienreiz un uz visiem laikiem var novērst savu produktu drošības trūkumus.
Neatkarīgais drošības pētnieks Pīters Vreugdenhils tikpat daudz ieguva par pārlūkprogrammas Internet Explorer 8 uzlaušanu, kas vairs nevienu nepārsteidz, redzot arī vienu un otru izdevumu, jo viņu pārsteidz jebkura tā ierosinātāja eksperta uzbrukumi. Lai uzlauztu IE8, Vreugdenhil apgalvoja, ka ir izmantojis divas ievainojamības četru daļu uzbrukumā, kas apieta ASLR (adrešu vietas izkārtojuma randomizācija) un DEP (datu izpildes novēršana), kas ir paredzēti, lai palīdzētu apturēt uzbrukumus pārlūkprogrammā. Tāpat kā citos mēģinājumos, sistēma tika apdraudēta, kad pārlūkprogramma apmeklēja vietni, kurā mitinājās ļaunprātīgs kods. Šis lēmums viņam piešķīra tiesības uz datoru, ko viņš demonstrēja, palaižot mašīnas kalkulatoru.
Firefox arī nācās saliekt ceļu uz MWS InfoSecurity Lielbritānijas pētījumu vadītāja Nila viltību, kurš nopelnīja 10,000 XNUMX USD no pārlūka ievainojamības, kas neļauj Microsoft gulēt. Nils teica, ka viņš izmantoja atmiņas korupcijas ievainojamību, kā arī nācās pārvarēt ASLR un DEP, pateicoties kļūdai Mozilla ieviešanā.
Un visbeidzot, vienīgais, kas palicis stāvus, ir bijis Chrome. Pagaidām tas ir vienīgais pārlūks, kas joprojām nav uzvarēts, un tas jau tika sasniegts šī notikuma 2009. gada izdevumā, kas notiek Kanādā un kura mērķis ir brīdināt lietotājus par programmu ievainojamību. “Pārlūkā Chrome ir trūkumi, taču tos ir ļoti grūti izmantot. Viņi izstrādāja “smilškastes” (smilškastes) modeli, kuru ir ļoti grūti pārkāpt, ”sacīja slavenais hakeris Čārlijs Millers, kuram šajā izdevumā izdevās pārņemt Safari kontroli pār MacBook Pro.
Fuente: Neoteo un Segu-Info un ZDNET