|
Er kan er maar één in leven blijven en in dit geval is het de sterbrowser van Google geweest. iPhone, Safari, Explorer en zelfs de gevestigde Firefox zijn zonder problemen in handen gevallen van de beste hackers ter wereld die elk jaar in Canada samenkomen om te proberen de beroemdste systemen van het moment te vernietigen en hen te wijzen op hun beveiligingslekken. Ze zijn er echter niet in geslaagd de harde "sandbox" -modus te schenden die Chrome beschermt, een kolos die de aanvallen van de beste computerexperts ter wereld heeft weerstaan. |
De jaarlijkse Pwn2Own-wedstrijd op de CanSecWest-beveiligingsbeurs in Vancouver biedt de perfecte omgeving voor 's werelds beste IT-beveiligingsexperts om zich volledig in te zetten tegen allerlei populaire gadgets en software. Jaar na jaar slagen ze erin de beveiligingshindernissen te omzeilen die de onderzochte systemen proberen op te leggen, maar slechts enkelen hebben de eer om het einde van de wedstrijd te bereiken zonder een enkele storing.
De eerste die viel was de succesvolle Apple iPhone, Vincenzo Iozzo en Ralf Philipp Weinmann hadden slechts 20 seconden nodig om het meest gevraagde apparaat van dit moment voor de gek te houden. De hackers lieten alleen de iPhone (zonder jailbreak) een eerder door hen ontwikkelde site betreden, van waaruit ze de volledige sms-database (zelfs de verwijderde) naar hun servers kopieerden. Ze verklaarden dat ondanks Apple's inspanningen om deze hiaten te voorkomen, "de manier waarop ze codeondertekening implementeerden te soepel is." Ze hebben $ 15.000 gewonnen voor deze inlichtingendemonstratie en zodra het Apple-bedrijf de beveiligingsbug heeft opgelost, worden de details van de toegang weergegeven.
Charlie Miller, Principal Security Analyst bij Independent Security Evaluators, slaagde erin Safari te hacken op een MacBook Pro met Snow Leopard zonder fysieke toegang, en verdiende $ 10,000. Deze oude evenementhond slaagt erin elk jaar een apparaat van Apple kapot te maken. Het lijkt erop dat hij de pols van het merk heeft opgevangen. Het zou geen kwaad als het bedrijf hem inhuurt om te zien of ze voor eens en voor altijd een einde kunnen maken aan de beveiligingsfouten in hun producten.
De onafhankelijke beveiligingsonderzoeker Peter Vreugdenhil won hetzelfde bedrag voor de hack van Internet Explorer 8, die niemand meer verbaast om de ene editie en de andere ook te zien, aangezien hij wordt neergeslagen door de aanvallen van elke expert die het voorstelt. Om IE8 te hacken, beweerde Vreugdenhil twee kwetsbaarheden te hebben misbruikt in een vierdelige aanval die ASLR (Address Space Layout Randomization) en DEP (Data Execution Prevention) omzeilde, die zijn ontworpen om aanvallen in de browser te helpen stoppen. Net als bij andere pogingen, werd het systeem gecompromitteerd toen de browser een site bezocht die schadelijke code host. De uitspraak gaf hem rechten op de computer, wat hij demonstreerde door de rekenmachine van de machine te gebruiken.
Firefox moest ook de knie buigen voor de sluwheid van Nils, hoofd van het onderzoek van MWR InfoSecurity in het VK, die $ 10,000 verdiende aan de kwetsbaarheid van de browser die Microsoft op zijn gemak houdt. Nils zei dat hij misbruik maakte van een kwetsbaarheid voor geheugenbeschadiging en ook ASLR en DEP moest overwinnen dankzij een bug in de implementatie van Mozilla.
En tot slot is Chrome de enige die overeind is gebleven. Tot nu toe is het de enige browser die ongeslagen is gebleven, iets wat hij al had bereikt tijdens de 2009-editie van dit evenement dat plaatsvindt in Canada en die gebruikers wil waarschuwen voor de kwetsbaarheden van de programma's. “Er zijn fouten in Chrome, maar die zijn moeilijk te misbruiken. Ze ontwierpen een 'sandbox'-model, dat erg moeilijk te doorbreken is' ', zegt Charlie Miller, de beroemde hacker, die in deze editie de controle over Safari op een Macbook Pro wist over te nemen.
bron: Neoteo en Segu-Info en ZDNET