Pwn2Own 2010: ato shkelin gjithçka përveç Chrome

Vetëm një mund të mbetet gjallë dhe në këtë rast ai ka qenë shfletuesi yll i Google. iPhone, Safari, Explorer dhe madje Firefox-i i vendosur kanë rënë pa probleme në duart e hakerave më të mirë në botë që takohen çdo vit në Kanada për të provuar të shkatërrojnë sistemet më të famshme të momentit dhe të tregojnë të metat e tyre të sigurisë. Sidoqoftë, ata nuk kanë qenë në gjendje të shkelin mënyrën e ashpër "sandbox" që mbron Chrome, një kolos që i ka rezistuar sulmeve të ekspertëve më të mirë të kompjuterëve në planet.


Konkursi vjetor Pwn2Own në panairin e sigurisë CanSecWest në Vancouver siguron një mjedis të përsosur për ekspertët më të mirë të botës në fushën e sigurisë IT që të angazhohen në aktivitet të plotë kundër të gjitha llojeve të pajisjeve dhe programeve të nxehta. Vit pas viti, ata arrijnë të shmangin pengesat e sigurisë që sistemet nën shqyrtim përpiqen të vendosin, por vetëm disa kanë nderin të arrijnë në fund të konkursit pa asnjë dështim të vetëm.

I pari që ra ishte iPhone i suksesshëm i Apple, Vincenzo Iozzo dhe Ralf Philipp Weinmann kishin nevojë vetëm për 20 sekonda për të bërë budalla pajisjen më të famshme të momentit. Hakerat bënë që iPhone (pa jailbreak) të hyjë në një sit të zhvilluar më parë nga ata, nga ku ata kopjuan të gjithë bazën e të dhënave SMS (madje edhe ato të fshira) në serverat e tyre. Ata thanë se pavarësisht përpjekjeve nga Apple për të parandaluar këto boshllëqe, "mënyra se si ata zbatuan nënshkrimin e kodit është shumë e butë". Ata fituan 15.000 dollarë për këtë demonstrim të inteligjencës dhe sa më shpejt që kompania e mollëve të rregullojë gabimin e sigurisë, detajet e hyrjes do të shfaqen.

Charlie Miller, Analisti Kryesor i Sigurisë në Vlerësuesit e Pavarur të Sigurisë, arriti të hakojë Safarin në një MacBook Pro me Snow Leopard dhe pa qasje fizike, duke fituar 10,000 dollarë. Ky qen i vjetër i ngjarjeve arrin të shkatërrojë një pajisje në pronësi të Apple çdo vit. Duket se ai ka marrë pulsin e markës. Nuk do të dëmtonte që kompania ta punësonte atë për të parë nëse njëherë e përgjithmonë ata mund t'i japin fund të metave të sigurisë në produktet e tyre.

Studiuesi i pavarur i sigurisë Peter Vreugdenhil fitoi të njëjtën shumë për kollitjen e Internet Explorer 8, e cila nuk habit më askënd për të parë një botim dhe një tjetër gjithashtu, pasi ai goditet nga sulmet e çdo eksperti që e propozon atë. Për të hackuar IE8, Vreugdenhil pretendoi të ketë shfrytëzuar dy dobësi në një sulm me katër pjesë që anashkaloi ASLR (Randomizimi i Layout të Hapësirës së Adresës) dhe DEP (Parandalimi i Ekzekutimit të të Dhënave), të cilat janë krijuar për të ndihmuar në ndalimin e sulmeve në shfletuesin. Ashtu si në përpjekjet e tjera, sistemi u komprometua kur shfletuesi vizitoi një faqe që ishte duke pritur një kod të dëmshëm. Vendimi i dha atij të drejta për kompjuterin, të cilat ai i demonstroi duke përdorur kalkulatorin e makinës.

Firefox-it gjithashtu iu desh të përkulte dinjitetin e Nils, kreut të kërkimeve në Mbretërinë e Bashkuar për MWR InfoSecurity, i cili fitoi 10,000 dollarë nga cenueshmëria e shfletuesit që po e mban Microsoftin të qetë. Nils tha se ai shfrytëzoi një cenueshmëri të korrupsionit të kujtesës dhe gjithashtu iu desh të kapërcente ASLR dhe DEP falë një defekti në zbatimin e Mozilla.

Dhe së fundmi, i vetmi që ka mbetur në këmbë ka qenë Chrome. Deri më tani është shfletuesi i vetëm që mbetet i pamposhtur, diçka që e kishte arritur tashmë gjatë edicionit 2009 të kësaj ngjarje që zhvillohet në Kanada dhe që kërkon të paralajmërojë përdoruesit për dobësitë e programeve. “Ka defekte në Chrome, por ato janë shumë të vështira për t’u shfrytëzuar. Ata krijuan një model 'sandbox', i cili është shumë i vështirë për t'u thyer ", tha Charlie Miller, hakeri i famshëm, i cili në këtë edicion arriti të merrte kontrollin e Safari në një Macbook Pro.

Fuente: ARG dhe Segu-Info dhe ZDNET


Bëhu i pari që komenton

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.