Bezpieczeństwo

Zawody hakerskie Pwn2Own - pierwsze dwa dni

przeczytasz w 3 min.

Czwarta już edycja zawodów hakerskich Pwn2Own nie przyniosła specjalnych niespodzianek, nie obyło się jednak bez rekordów czasowych.

Pwn2Own to organizowane od czterech lat zawody hakerskie, podczas których najlepsi spece z całego świata próbują sforsować zabezpieczenia systemów operacyjnych i przeglądarek. Główną nagrodą jest zawsze całkiem przyzwoita suma pieniędzy oraz sprzęt, na którym zabezpieczenia łamano. W chwili pisania tej wiadomości znane były wyniki z dwóch dni zmagań. Imprezę przewidziano na trzy dni, tak więc jeśli tylko dowiemy się czegoś więcej, niezwłocznie Was poinformujemy.

Warto przeczytać:
Internet Explorer 9 nadchodzi
Opera Mobile Store - sklep z aplikacjami otwarty

Pierwszy dzień upłynął pod znakiem przeglądarek internetowych na platformach stacjonarnych. W planach były próby łamania Safari, Firefoxa, Internet Explorer oraz Google Chrome. Tego dnia nikt nie podjął się próby złamania Firefoxa bądź Google Chrome. Jeśli chodzi o Chrome to trzeba zaznaczyć, że nowa wersja finalna została wydana zaledwie dwa dni przed startem imprezy, tak więc było dość mało czasu by wykryć poważniejszą lukę.

W konkursie biorą bowiem udział jedynie finalne wersje przeglądarek. Dlatego wśród konkursowych wyzwań nie było jeszcze Internet Explorera 9 oraz Firefoxa 4. Na pierwszy ogień poszła przeglądarka Safari w wersji 5.0.3 zainstalowana na systemie Mac OS X 10.6.6. Za system Apple zabrała się francuska firma od zabezpieczeń VUPEN. Złamanie przeglądarki Apple zajęło im dokładnie 5 sekund. Dokonano tego przez wcześniej stworzoną stronę internetową. Przedstawiciele VUPEN po złamaniu zabezpieczeń uruchomili kalkulator oraz zapisali przykładowy plik na dysku. Poszukiwania luki zajęły im 2 tygodnie. Opłaciło się, w nagrodę firma otrzymała 15 tysięcy dolarów oraz sprzęt firmy Apple.

Internet Explorer 8 (wersja 32 bitowa), który został zainstalowany na Windowsie 7 z SP1 (wersja 64 bitowa) padł pod naporem Stephena Fewera z firmy Hamony Security. Podobnie jak w przypadku Safari, Fewer po obejściu zabezpieczeń uruchomił kalkulator i zapisał przykładowy plik na dysku. Nie zajęło mu to jednak 5 sekund. W tym wypadku problem był nieco bardziej złożony i jego rozwiązanie składało się z trzech kroków. Każdy z nich to wykorzystanie innej luki przeglądarki, co zaowocowało obejściem trybu chronionego IE8 oraz przejęcie pełnej kontroli nad systemem. Nagrodą było, jak w przypadku Safari, 15 tysięcy dolarów oraz komputer z zainstalowanym Windowsem 7.

Drugi dzień zmagań przyniósł dwie "ofiary" - iPhone 4 oraz BlackBerry Torch 9800. Niezłamane pozostały - Samsung Nexus S z Androidem oraz Dell Venue Pro z Windowsem Phone 7. Za iPhona zabrała się prawdziwa legenda konkursu i człowiek, który od trzech lat konsekwentnie łamał sprzęt Apple - Charlie Miller. W tym roku jednak - jak sam przyznał - większość pracy wykonał Dion Blazakis, bez którego Miller nie byłby w stanie pokonać zabezpieczeń iPhona z iOSem w wersji 4.2.1. Atak został przeprowadzony przez stronę internetową. Piersza próba zaowocowała resetem urządzenia, druga zakończyła się jednak sukcesem, co pozwoliło na uzyskanie dostępu do książki adresowej. Apple poinformowało, że wersja iOS 4.3 posiada już załataną lukę, którą wykorzystał zwycięski duet. Nagroda to standardowo już 15 tysięcy dolarów i Apple iPhone 4.

Zabezpieczenia BlackBerry Torch 9800 pokonała trójka hakerów - Vincenzo Lozzo, Willem Pinckaers oraz Ralf Philipp Weinmann. Zasada była podobna jak w przypadku reszty „włamów”. Trio skorzystało z wcześniej zaprojektowanej strony internetowej wykorzystując luki w systemie. Urządzenie działało pod kontrolą systemu BlackBerry OS 6.0.0.246. Panowie musieli podzielić się 15 tysiącami dolarów oraz smartfonem BlackBerry Torch 9800.

Drugiego dnia niejaki Sam Thomas chciał przystąpić do próby złamania Firefoxa, jednak zrezygnował. Jako powód podał niestabilność swojego rozwiązania. Nie chcemy w tym miejscu informować, że Firefox, Chrome czy Android są odporne na ataki - bo z pewnością nie są. W przypadku Chrome zdecydowało wypuszczenie nowej wersji na dwa dni przed rozpoczęciem konkursu. Firefox również dość niedawno doczekał się szeregu aktualizacji. 
 

Źródło: Engadget, The Inquirer

Polecamy artykuły:  
Dell Alienware M17x - marzenie gracza z CrossFireX
Razer Spectre, Marauder i Banshee - mysz, klawiatura i słuchawki z serii StarCraft II
VoD Onet, Ipla, tvscreen i spółka - przegląd 7 serwisów 

 

Komentarze

16
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Fourth Illusion
    0
    a jak z opera nikt jej nie lamal ?
    • avatar
      piotrek8x
      0
      Nie rozumiem tego łamania przeglądarek;) Przeciesz napewno nikt nie opiera swoich zabezpieczeń tylko na przedglądarce. Zazwyczaj jest to porządny antywirus;)
      • avatar
        suntzu
        0
        Żeby nie było... Gdyby dało się złamać Androida z pewnością ktoś by zrobił. Te zawody są poprzedzone tygodniami przygotowań.

        To nie działa tak, że przychodzą ludzie i zaczynają łamać jak na filmach i w parę chwil Admin jest wywalony, a oni rozwalają system. Przychodzą ze swoimi rozwiązaniami i udawadniają, że to nie fake.

        Widocznie nikomu się nie udało....
        • avatar
          suntzu
          0
          W przypadku Chrome nic nie jest pewne. Szczerze to pewna metoda na crackerów. Robią tak często aktualizację, że nie da się opracować skutecznego rozwiązania.


          Android, oryginalny jest bardzo bezpieczny, sam OS został świetnie pomyślany i instalując aplikację dokładnie wiemy co ona może zrobić.

          Dopiero mieszanie w OSie instalując super gierkę, która ma np. dostęp do "książki adresowej", wysyłania SMSów, albo dziurawą aplikację, która ma przywilej ROOTa można te zabezpieczenia zniszczyć.

          Wątpię by dało się złamać Androida łatwo, a nawet jeśli to zrobić jakieś szkodliwe rzeczy....

          Z praktycznego punktu widzenia kolega testował Androida na ataki DDoS i nie poległ, a WP7 i chyba iOS polegli.
          • avatar
            Konto usunięte
            0
            Czy myślicie, że Ci panowie hakerzy to no-life-y?