Konkurs hakerski - Safari poległa po 10 sekundach

O szczegółach tegorocznej, trzeciej z rzędu, edycji konkursu PWN2OWN (w wolnym tłumaczeniu: "przejmij i wygraj") informowaliśmy pod koniec lutego w artykule Włam się i wygraj 10 tys. dolarów.

Przypomnijmy, że zadaniem uczestników zawodów jest włamanie do smartfonów pracujących pod kontrolą najpopularniejszych systemów operacyjnych dla urządzeń mobilnych: Windows Mobile (HTC Touch), Google Android (G1), Symbian (Nokia N85), a także systemów używanych w urządzeniach iPhone oraz BlackBerry. Drugi etap rywalizacji polega na włamaniu się do komputera przez lukę w przeglądarce internetowej. Do dyspozycji zawodników oddane zostały notebooki Sony Vaio pracujące pod kontrolą systemu Windows 7, z zainstalowanymi programami Internet Explorer 8, Firefox i Chrome, jak również MacBooki z systemem Mac OS X i przeglądarką Safari.

Pod koniec pierwszego dnia zawodów programy Microsoftu, Apple i Mozilli były już zhakowane. Pierwszą przeglądarką, która nie wytrzymała hakerskiego naporu, była Safari, uruchomiona w systemie Mac OS X. Autorem ataku był nie kto inny jak Charlie Miller, zwycięzca ubiegłorocznego wydania konkursu, kiedy to w niespełna dwie minuty uruchomił złośliwy kod i przejął kontrolę nad komputerem MacBook Air pracującym pod kontrolą w pełni uaktualnionego systemu Mac OS X (czytaj więcej: PWN 2 OWN: Mac pierwszą ofiarą). "Safari to łatwy cel. Jest tam mnóstwo luk" - stwierdził Miller w wywiadzie udzielonym tuż po skutecznym ataku na przeglądarkę. Przyznał też, że do włamania posłużył sie exploitem stworzonym jakiś czas przed zawodami.

Wkrótce potem przyszła kolej na aplikację Microsoftu - w zmaganiach z Internet Explorerem 8 górą okazał się być haker przedstawiający się jako Nils. Portfel tego osobnika powiększył się pierwszego dnia konkursu łącznie o 15 tys. dolarów, gdyż oprócz włamania przez IE dokonał on skutecznych ataków na Safari i Firefoksa!

Charlie Miller (po lewej) - łowca luk w oprogramowaniu Apple. Za swój wyczyn na tegorocznym PWN2OWN wygrał już MacBooka i 5 tys. dolarów

Fakt, iż pierwszego dnia nie udało się włamać do żadnego z systemów operacyjnych urządzeń mobilnych, nie jest jednak zaskoczeniem. Reguły określające charakter przeprowadzanych ataków były bowiem bardzo sztywne - od uczestników wymagano np. aby używane przez nich exploity działały bez żadnej interakcji użytkownika smartfona. Zgodnie z regulaminem, poziom trudności konkursu ma być obniżany w kolejnych etapach. Pierwszego dnia rywalizacji hakerzy próbowali włamania do smartfonów m.in. przez sieć Wi-Fi - teraz umożliwi im się szukanie dziur w dołączonych do urządzeń aplikacjach.

Pierwsza osoba, której uda się włamać do dowolnie wybranego smartfona, będzie mogła go zachować i korzystać przez rok w ramach umowy abonamentowej. Może też liczyć na nagrodę w wysokości 10 tys. dolarów. W przeciwieństwie do poprzednich edycji konkursu nagrody podobnej wysokości otrzyma każdy, komu uda się obejść zabezpieczenia systemu i włamać do urządzenia. Nagrodą za każde wykorzystanie luki w przeglądarce i włamanie do komputera osobistego jest 5 tys. dolarów. Komputer, który jako pierwszy padnie ofiarą włamania, przejdzie na własność autora ataku.

Informacje o błędach w aplikacjach, wykrywanych w czasie trwania konkursu, są skrzętnie gromadzone przez jego organizatora - firmę TippingPoint - i przekazywane producentom oprogramowania.

Wiecej informacji:
CanSecWest
TippingPoint