|
Hanya seorang yang boleh hidup dan dalam hal ini penyemak imbas bintang Google. iPhone, Safari, Explorer dan bahkan Firefox yang mapan telah jatuh tanpa masalah di tangan penggodam terbaik di dunia yang bertemu setiap tahun di Kanada untuk cuba menghancurkan sistem yang paling terkenal ketika ini dan menunjukkan kelemahan keselamatan mereka. Namun, mereka tidak dapat melanggar mod "kotak pasir" yang keras yang melindungi Chrome, sebuah raksasa yang telah menentang serangan pakar komputer terbaik di planet ini. |
Peraduan Pwn2Own tahunan di pameran keselamatan CanSecWest di Vancouver menyediakan persekitaran yang sempurna untuk pakar keselamatan IT terbaik di dunia untuk terlibat sepenuhnya dalam semua jenis alat dan perisian panas. Tahun demi tahun, mereka berjaya mengelakkan rintangan keselamatan yang cuba dilaksanakan oleh sistem yang dikaji, tetapi hanya sebilangan kecil yang mendapat kehormatan untuk mencapai akhir pertandingan tanpa satu kegagalan.
Yang pertama jatuh adalah iPhone Apple yang berjaya, Vincenzo Iozzo dan Ralf Philipp Weinmann hanya memerlukan 20 saat untuk memperbodohkan peranti yang paling dituntut ketika ini. Penggodam hanya membuat iPhone (tanpa jailbreak) memasuki laman web yang sebelumnya mereka bangunkan, dari mana mereka menyalin keseluruhan pangkalan data SMS (bahkan yang dihapus) ke pelayan mereka. Mereka menyatakan bahawa walaupun ada usaha oleh Apple untuk mencegah jurang ini, "cara mereka menerapkan penandatanganan kod terlalu ringan." Mereka memenangi $ 15.000 untuk demonstrasi perisikan ini dan sebaik sahaja syarikat epal memperbaiki bug keselamatan, perincian akses akan dipaparkan.
Charlie Miller, Penganalisis Keselamatan Utama di Independent Security Evaluators, berjaya menggodam Safari pada MacBook Pro dengan Snow Leopard dan tanpa akses fizikal, memperoleh $ 10,000. Anjing acara lama ini berjaya mematahkan peranti yang dimiliki oleh Apple setiap tahun. Nampaknya dia telah mengambil nadi jenama. Tidak akan menyusahkan syarikat itu untuk mengupahnya untuk melihat apakah sekali dan akhirnya mereka dapat mengakhiri kekurangan keselamatan dalam produk mereka.
Penyelidik keselamatan bebas Peter Vreugdenhil memenangi jumlah yang sama untuk penggodaman Internet Explorer 8, yang tidak lagi mengejutkan siapa pun untuk melihat satu edisi dan edisi yang lain juga, kerana dia terpukul oleh serangan mana-mana pakar yang mencadangkannya. Untuk menggodam IE8 Vreugdenhil mengaku telah mengeksploitasi dua kelemahan dalam serangan empat bahagian yang memintas ASLR (Alamat Ruang Layak Randomisasi) dan DEP (Data Execution Prevention), yang dirancang untuk membantu menghentikan serangan di penyemak imbas. Seperti percubaan lain, sistem itu terganggu ketika penyemak imbas mengunjungi laman web yang menghosting kod jahat. Keputusan itu memberinya hak untuk komputer, yang ditunjukkannya dengan menjalankan kalkulator mesin.
Firefox juga harus menekuk lutut ke arah kepalsuan Nils, ketua penyelidikan UK untuk InfoSecurity MWR, yang menghasilkan $ 10,000 dari kerentanan penyemak imbas yang membuat Microsoft tenang. Nils mengatakan bahawa dia mengeksploitasi kerentanan korupsi memori dan juga harus mengatasi ASLR dan DEP berkat bug dalam pelaksanaan Mozilla.
Dan akhirnya, satu-satunya yang kekal ialah Chrome. Setakat ini, ia adalah satu-satunya penyemak imbas yang tidak dapat dikalahkan, sesuatu yang telah dicapai semasa edisi 2009 dari acara ini yang berlaku di Kanada dan yang bertujuan untuk memberi amaran kepada pengguna mengenai kelemahan program. "Terdapat kekurangan dalam Chrome, tetapi sangat sukar untuk dieksploitasi. Mereka merancang model 'kotak pasir', yang sangat sukar dipatahkan, "kata Charlie Miller, penggodam terkenal, yang pada edisi ini berjaya menguasai Safari pada Macbook Pro.
Fuente: Neoteo dan Segu-Info dan ZDNET