|
Doar unul poate rămâne în viață și, în acest caz, a fost browserul stea al Google. iPhone, Safari, Explorer și chiar consacratul Firefox au căzut fără probleme în mâinile celor mai buni hackeri din lume care se întâlnesc în fiecare an în Canada pentru a încerca să distrugă cele mai faimoase sisteme ale momentului și să le arate defectele de securitate. Cu toate acestea, ei nu au reușit să încalce modul dur „sandbox” care protejează Chrome, un colos care a rezistat atacurilor celor mai buni experți în informatică de pe planetă. |
Concursul anual Pwn2Own de la târgul de securitate CanSecWest din Vancouver oferă mediul perfect pentru cei mai buni experți din domeniul securității IT din lume pentru a se angaja în plină desfășurare împotriva tuturor tipurilor de gadget-uri și software-uri fierbinți. An de an, ei reușesc să ocolească obstacolele de securitate pe care sistemele analizate încearcă să le impună, dar doar câțiva au onoarea de a ajunge la finalul concursului fără un singur eșec.
Primul care a căzut a fost iPhone-ul de succes Apple, Vincenzo Iozzo și Ralf Philipp Weinmann au avut nevoie doar de 20 de secunde pentru a face de râs cel mai solicitat dispozitiv al momentului. Hackerii au făcut ca iPhone-ul (fără jailbreak) să intre pe un site dezvoltat anterior de aceștia, de unde au copiat întreaga bază de date SMS (chiar și cele șterse) pe serverele lor. Aceștia au declarat că, în ciuda eforturilor Apple de a preveni aceste lacune, „modul în care au implementat semnarea codului este prea îngăduitor”. Au câștigat 15.000 de dolari pentru această demonstrație de informații și de îndată ce compania Apple remediază eroarea de securitate, vor fi afișate detaliile accesului.
Charlie Miller, analist principal de securitate la Independent Security Evaluators, a reușit să pirateze Safari pe un MacBook Pro cu Snow Leopard și fără acces fizic, câștigând 10,000 de dolari. Acest vechi câine de eveniment reușește să arunce în fiecare an un dispozitiv deținut de Apple. Se pare că a luat pulsul mărcii. Nu ar fi rău pentru companie să-l angajeze pentru a vedea dacă o dată pentru totdeauna pot pune capăt defectelor de securitate ale produselor lor.
Cercetătorul independent de securitate Peter Vreugdenhil a câștigat aceeași sumă pentru hack-ul Internet Explorer 8, care nu mai surprinde pe nimeni să vadă și o ediție și alta, deoarece este lovit de atacurile oricărui expert care o propune. Pentru a hackera IE8, Vreugdenhil a susținut că a exploatat două vulnerabilități într-un atac în patru părți care a ocolit ASLR (Adresare spațiu aleatoriu) și DEP (prevenirea execuției datelor), care sunt concepute pentru a ajuta la oprirea atacurilor în browser. Ca și în alte încercări, sistemul a fost compromis când browserul a vizitat un site care găzduia coduri rău intenționate. Decizia i-a conferit drepturi asupra computerului, pe care le-a demonstrat rulând calculatorul mașinii.
Firefox a trebuit, de asemenea, să aplece genunchiul la viclenia lui Nils, șef de cercetare din Marea Britanie la MWR InfoSecurity, care a scăzut 10,000 de dolari din vulnerabilitatea browserului care împiedică Microsoft să doarmă. Nils a spus că a exploatat o vulnerabilitate a corupției de memorie și, de asemenea, a trebuit să depășească ASLR și DEP datorită unui bug în implementarea Mozilla.
Și, în cele din urmă, singurul care a rămas în picioare a fost Chrome. Până în prezent este singurul browser care rămâne neînvins, lucru pe care îl realizase deja în cadrul ediției din 2009 a acestui eveniment care are loc în Canada și care urmărește să-i avertizeze pe utilizatori cu privire la vulnerabilitățile programelor. „Există defecte în Chrome, dar sunt foarte greu de exploatat. Au conceput un model de „sandbox” (sandbox), care este foarte greu de încălcat ”, a declarat Charlie Miller, celebrul hacker, care în această ediție a reușit să preia controlul Safari pe un Macbook Pro.
Fuente: arg și Segu-Info și ZDNet