|
Samo eden lahko ostane živ in v tem primeru je to Googlov zvezdni brskalnik. iPhone, Safari, Explorer in celo uveljavljeni Firefox so brez težav padli v roke najboljših hekerjev na svetu, ki se vsako leto srečajo v Kanadi, da bi poskušali uničiti najbolj znane sisteme trenutka in opozoriti na njihove varnostne pomanjkljivosti. Vendar niso mogli kršiti ostrega načina "peskovnika", ki ščiti Chrome, kolos, ki se je uprl napadom najboljših računalniških strokovnjakov na planetu. |
Vsakoletno tekmovanje Pwn2Own na varnostnem sejmu CanSecWest v Vancouvru ponuja popolno okolje za najboljše svetovne strokovnjake za informacijsko varnost, da se v polnem zagonu lotijo vseh vrst vročih pripomočkov in programske opreme. Iz leta v leto jim uspe izogniti se varnostnim oviram, ki jih skušajo nalagati pregledani sistemi, a le redki imajo to čast, da pridejo do konca tekmovanja brez enega samega neuspeha.
Prvi je padel uspešni Apple iPhone, Vincenzo Iozzo in Ralf Philipp Weinmann sta potrebovala le 20 sekund, da bi naredila norca najbolj zahtevne naprave tega trenutka. Hekerji so samo napravili, da je iPhone (brez zapora) vstopil na spletno mesto, ki so ga predhodno razvili, od koder so kopirali celotno zbirko podatkov SMS (tudi izbrisane) na svoje strežnike. Izjavili so, da je kljub prizadevanjem Applea, da bi preprečil te vrzeli, "način izvajanja podpisovanja kode preveč prizanesljiv." Za to predstavitev obveščevalnih podatkov so osvojili 15.000 dolarjev in takoj, ko bo podjetje Apple odpravilo varnostno napako, bodo prikazane podrobnosti o dostopu.
Charlie Miller, glavni varnostni analitik pri Independent Security Evaluators, je uspel vdreti Safari v MacBook Pro s sistemom Snow Leopard in brez fizičnega dostopa, s čimer je zaslužil 10,000 USD. Temu staremu dogodeku vsako leto uspe uničiti napravo v lasti Apple. Zdi se, da je vzel utrip znamke. Ne bi škodilo, da bi ga podjetje najelo, da bi ugotovilo, ali lahko enkrat za vselej odpravijo varnostne pomanjkljivosti svojih izdelkov.
Neodvisni raziskovalec varnosti Peter Vreugdenhil je dobil enako vsoto za kramp Internet Explorerja 8, ki nikogar več ne preseneti, če vidi tudi eno in drugo izdajo, saj ga napadejo strokovnjaki, ki to predlagajo. Za vdor v IE8 je Vreugdenhil trdil, da je izkoristil dve ranljivosti v štiridelnem napadu, ki je zaobšel ASLR (Address Space Layout Randomization) in DEP (Data Execution Prevention), ki naj bi pomagali ustaviti napade v brskalniku. Kot pri drugih poskusih je bil sistem ogrožen, ko je brskalnik obiskal spletno mesto, ki je gostilo zlonamerno kodo. Sodba mu je dala pravice do računalnika, kar je dokazal z zagonom računalniškega kalkulatorja.
Firefox je moral upogniti koleno tudi pred z Nilsom, britanskim vodjo raziskav pri MWR InfoSecurity, ki je zaslužil 10,000 USD zaradi ranljivosti brskalnika, zaradi katere Microsoft ne more spati. Nils je dejal, da je izkoristil ranljivost spomina na korupcijo in da je moral zaradi napake pri izvajanju Mozille premagati ASLR in DEP.
In končno, edini, ki je ostal, je Chrome. Zaenkrat je edini brskalnik, ki ostaja neporažen, nekaj, kar je dosegel že med izdajo tega dogodka leta 2009, ki poteka v Kanadi, in ki želi uporabnike opozoriti na ranljivosti programov. »V Chromu obstajajo napake, ki pa jih je zelo težko izkoristiti. Oblikovali so model 'peskovnika' (peskovnika), ki ga je zelo težko prebiti, "je povedal Charlie Miller, slavni heker, ki mu je v tej izdaji uspelo Safari prevzeti na Macbook Pro.
vir: Neoteo in Segu-Info in ZDNET