|
Yalnızca bir kişi hayatta kalabilir ve bu durumda o, Google'ın yıldız tarayıcısı olmuştur. iPhone, Safari, Explorer ve hatta kutsanmış Firefox bile, her yıl Kanada'da bir araya gelerek o anın en ünlü sistemlerini kırmaya ve güvenlik kusurlarını göstermeye çalışan dünyanın en iyi bilgisayar korsanlarının eline sorunsuz bir şekilde düştü. Ancak, gezegendeki en iyi bilgisayar uzmanlarının saldırılarına direnen bir dev olan Chrome'u koruyan çok zorlu "sanal alan" modunu ihlal edemediler. |
Vancouver'daki CanSecWest güvenlik fuarındaki yıllık Pwn2Own yarışması, dünyanın en iyi siber güvenlik uzmanlarının her türlü trend cihaz ve yazılıma karşı mücadele etmeleri için mükemmel bir ortam sağlıyor. Yıllar geçtikçe, incelenen sistemlerin dayatmaya çalıştığı güvenlik engellerini aşmayı başarıyorlar, ancak yalnızca birkaçı yarışmanın sonuna tek bir başarısızlık olmadan ulaşma onuruna sahip.
İlk düşen başarılı Apple iPhone oldu. Vincenzo Iozzo ve Ralf Philipp Weinmann'ın o anın en çok rağbet gören cihazını aptal durumuna düşürmek için sadece 20 saniyeye ihtiyaçları vardı. Bilgisayar korsanları, iPhone'u (jailbreak olmadan) daha önce kendileri tarafından geliştirilen bir siteye soktular ve buradan tüm SMS veritabanını (silinmiş olanları bile) sunucularına kopyaladılar. Apple'ın bu ihlalleri önleme çabalarına rağmen "kod imzalamayı uygulama biçimlerinin çok hoşgörülü olduğunu" belirttiler. Bu istihbarat gösterisinden dolayı 15.000 dolar kazandılar ve Apple şirketi güvenlik hatasını düzelttiğinde erişim ayrıntıları gösterilecek.
Independent Security Evaluators'ın baş güvenlik analisti Charlie Miller, Snow Leopard çalıştıran ve fiziksel erişime sahip olmayan bir MacBook Pro'da Safari'yi hacklemeyi başardı ve 10,000 dolar kazandı. Etkinlikteki bu yaşlı köpek, her yıl Apple'a ait bazı cihazları havaya uçurmayı başarıyor. Markanın nabzında parmağı varmış gibi görünüyor. Şirketin, ürünlerindeki güvenlik kusurlarına kesin olarak son verip veremeyeceklerini görmek için onu tutmasının bir zararı olmaz.
Bağımsız güvenlik araştırmacısı Peter Vreugdenhil, Internet Explorer 8'in hacklenmesinden de aynı parayı kazandı; bu, onu öneren herhangi bir uzmanın saldırılarıyla sarsıldığı için artık kimseyi şaşırtmıyor. Vreugdenhil, IE8'i hacklemek için, tarayıcıya yapılan saldırıları durdurmaya yardımcı olmak üzere tasarlanan ASLR (Adres Alanı Düzeni Rastgeleleştirme) ve DEP'yi (Veri Yürütme Engelleme) atlayan dört bölümlü bir saldırıda iki güvenlik açığından yararlandığını söyledi. Diğer denemelerde olduğu gibi, tarayıcı kötü amaçlı kod barındıran bir siteyi ziyaret ettiğinde sistemin güvenliği ihlal edildi. Karar ona bilgisayar üzerinde haklar verdi ve bunu makinenin hesap makinesini çalıştırarak gösterdi.
Firefox ayrıca, Microsoft'u geceleri uykusuz bırakan tarayıcı güvenlik açığı pahasına 10,000 dolar kazanan MWR InfoSecurity'nin Birleşik Krallık'taki araştırma başkanı Nils'in hilelerine de boyun eğmek zorunda kaldı. Nils, bellek bozulması güvenlik açığından yararlandığını ve ayrıca Mozilla'nın uygulamasındaki bir hata nedeniyle ASLR ve DEP'yi atlamak zorunda kaldığını iddia etti.
Ve son olarak ayakta kalan tek şey Chrome oldu. Şimdiye kadar yenilgisiz kalan tek tarayıcıydı; bu, Kanada'da gerçekleşen ve kullanıcıları programların güvenlik açıkları konusunda uyarmayı amaçlayan bu etkinliğin 2009 baskısında da başardığı bir şeydi. «Chrome'da kusurlar var, ancak bunların istismar edilmesi çok zor. Bu sürümde Macbook Pro'da Safari'nin kontrolünü ele geçirmeyi başaran ünlü hacker Charlie Miller, "Kırılması çok zor bir 'sandbox' modeli tasarladılar" dedi.
kaynak: Neoteo ve Segu-Info ve ZDNET