Złam zabezpieczenia - zgarnij 100 tys. dolarów

W ramach konferencji CanSecWest, jaka odbędzie się 24 marca br. w kanadyjskim Vancouver, zostanie zorganizowana czwarta już odsłona konkursu hakerskiego PWN2OWN (co w wolnym tłumaczeniu znaczy: "przejmij i wygraj").

"Rywalizacja na Pwn2Own 2010 będzie przebiegać tak jak rok temu - uczestnicy zmagań będą włamywać się do systemów operacyjnych urządzeń mobilnych oraz wykorzystywać luki w przeglądarkach internetowych do przejęcia kontroli nad komputerem" - powiedział Aaron Portnoy, specjalista ds. zabezpieczeń w firmie TippingPoint organizującej konferencję.

Mobilny OS - twardy orzech do zgryzienia

Podczas Pwn2Own 2010 pod lupę hakerów trafią iPhone 3GS, Blackberry Bold 9700, smartfon Nokia pracujący w środowisku Symbian S60 (nie znamy jeszcze konkretnego modelu, prawdopodobnie E62) oraz Motorola Droid z Androidem.

Należąca do koncernu 3Com Corp. firma TippingPoint, sponsor Pwn2Own 2010, zapowiedziała, że haker, który złamie zabezpieczenia wskazanego smartfona otrzyma go na własność. Dodatkowo dostanie nagrodę w wysokości 10 tys. dolarów amerykańskich oraz punkty w programie Zero Day Initiative (ZDI), które będzie mógł wymienić na kolejne 5 tys. dolarów. Warto zaznaczyć, że oznacza to wzrost wartości w puli nagród o 50% w porównaniu do roku ubiegłego.

Zeszłoroczny PWN2OWN udowodnił, że złamanie zabezpieczeń mobilnych systemów operacyjnych jest w świetle zasad konkursu niemal niewykonalne. Organizatorzy wprowadzili bowiem m.in. zapis o tym, żeby używane przez hakerów exploity działały bez żadnej interakcji użytkownika smartfona. Rok temu nikomu nie udało się złamać OS smartfonów zgodnie z tymi wytycznymi.

Przeglądarki w Windows 7 na celowniku

Bardzo ciekawie zapowiada się tegoroczna rywalizacja hakerów w łamaniu zabezpieczeń przeglądarek internetowych. Organizatorzy Pwn2Own 2010 oddadzą do dyspozycji uczestników Google Chrome, Mozilla Firefox oraz Microsoft Internet Explorer działające na Windows 7 oraz Safari na MacOS X Snow Leopard.

"Trzy przeglądarki zostaną zainstalowane na Windows 7, najnowszym i teoretycznie najlepiej zabezpieczonym systemie Microsoftu, jaki powstał. Jeśli komuś uda się za pomocą przeglądarki internetowej przejąć kontrolę nad notebookiem z tym OS, to otrzyma go w zamian i dodatkowo zdobędzie nagrodę w wysokości 10 tys. dolarów gotówki. Złamana przeglądarka odpada z konkursu" - powiedział Portnoy. "Jeśli pierwszego dnia wszystkie aplikacje pozostaną nietknięte, to następnie będziemy obniżać poziom zabezpieczeń i zmieniać systemy na kolejno Windows Vista i Windows XP" - dodał.

W ubiegłym roku najszybciej padła przeglądarka Safari uruchomiona w systemie Mac OS X. Haker Charlie Miller złamał zabezpieczenia Sarafi w zaledwie 10 sekund. Tego samego dnia padły również Internet Explorer 8 oraz Mozilla Firefox. Jedyną przeglądarką, która przetrwała konkurs była Google Chrome - choć ciekawostką jest, że Google miesiąc po zakończeniu PWN2OWN opublikowało łatkę zabezpieczającą tę samą lukę w Chrome, której użyto do ataku na Safari.

TippingPoint kupuje od hakerów prawa do kodu przygotowanego na potrzeby konkursu. Firma nie publikuje żadnych danych związanych ze znalezionymi błędami - zamiast tego zgłasza je producentom, którzy mogła szybko wprowadzić niezbędne poprawki. Przykładowo, w ubiegłym roku Apple zdecydowało się na wydanie łatki do dziury znalezionej przez Millera w dwa miesiące po zakończeniu konkursu.

Od Mac OS X i Ubuntu do smartfonów oraz Windows 7

Pierwsza edycja Pwn2Own polegała na włamaniu się do jednego komputera - MacBooka z Mac OS X. Zwycięzcą został wówczas nowojorczyk Dino Dai Zovi (współpracujący z niejakim Shane'm Macaulay'em), który wykorzystał do włamania się do Mac OS X lukę w zabezpieczeniach QuickTime'a (choć początkowo wydawało się, że problem dotyczy przeglądarki Safari).

W 2008 roku cele były trzy - Mac OS X 10.5.2, Windows Vista oraz Ubuntu Linux 7.10. Co ciekawe, najbardziej podatny na włamanie okazał się system Apple, który "poległ" już pierwszego dnia konkursu. Dwa dni później złamano Vistę (przez błąd we Flashu, rzekomo znany wcześniej firmie Adobe) zaś na zabezpieczenia Ubuntu hakerzy nie znaleźli sposobu. Komputer z Linuksem pozostał jednak niezłamany m.in. dlatego, że prawie nikt nie próbował tego zrobić - większość uczestników konkursu skupiła się na włamywaniu do Windows i Mac OS X (por. artykuł Linux: bezpieczny czy ignorowany?).

Rok 2009 oznaczał rewolucję w zasadach zawodów. To właśnie wtedy organizatorzy oddali do rąk hakerów urządzenia mobilne z Windows Mobile (HTC Touch), Google Android (G1), Symbianem (Nokia N85), systemy używanych w urządzeniach iPhone oraz BlackBerry, a także przeglądarki internetowe zainstalowane na Windows i Mac OS X. Podczas Pwn2Own nie udało się złamać smartfonów. Ofiarą hakerów padły za to niemal wszystkie prezentowane przeglądarki internetowe i systemy operacyjne.