Konkurs hakerski - Safari poległa po 10 sekundach

W poniedziałek, 16 marca rozpoczęła się w kanadyjskim Vancouver konferencja CanSecWest, poświęcona zagadnieniom komputerowego bezpieczeństwa. Od wczoraj trwają zaś zmagania uczestników towarzyszącego imprezie konkursu hakerskiego PWN2OWN, próbujących włamać się do systemów urządzeń mobilnych oraz komputerów. Co ciekawe, żadnego z pięciu atakowanych smartfonów nie udało się zhakować, natomiast przeglądarki internetowe, poprzez które włamywano się do komputerów, poległy wszystkie, oprócz jednej - Google Chrome. A Safari padła jako pierwsza i to po zaledwie 10 sekundach.

O szczegółach tegorocznej, trzeciej z rzędu, edycji konkursu PWN2OWN (w wolnym tłumaczeniu: "przejmij i wygraj") informowaliśmy pod koniec lutego w artykule Włam się i wygraj 10 tys. dolarów.

Przypomnijmy, że zadaniem uczestników zawodów jest włamanie do smartfonów pracujących pod kontrolą najpopularniejszych systemów operacyjnych dla urządzeń mobilnych: Windows Mobile (HTC Touch), Google Android (G1), Symbian (Nokia N85), a także systemów używanych w urządzeniach iPhone oraz BlackBerry. Drugi etap rywalizacji polega na włamaniu się do komputera przez lukę w przeglądarce internetowej. Do dyspozycji zawodników oddane zostały notebooki Sony Vaio pracujące pod kontrolą systemu Windows 7, z zainstalowanymi programami Internet Explorer 8, Firefox i Chrome, jak również MacBooki z systemem Mac OS X i przeglądarką Safari.

Pod koniec pierwszego dnia zawodów programy Microsoftu, Apple i Mozilli były już zhakowane. Pierwszą przeglądarką, która nie wytrzymała hakerskiego naporu, była Safari, uruchomiona w systemie Mac OS X. Autorem ataku był nie kto inny jak Charlie Miller, zwycięzca ubiegłorocznego wydania konkursu, kiedy to w niespełna dwie minuty uruchomił złośliwy kod i przejął kontrolę nad komputerem MacBook Air pracującym pod kontrolą w pełni uaktualnionego systemu Mac OS X (czytaj więcej: PWN 2 OWN: Mac pierwszą ofiarą). "Safari to łatwy cel. Jest tam mnóstwo luk" - stwierdził Miller w wywiadzie udzielonym tuż po skutecznym ataku na przeglądarkę. Przyznał też, że do włamania posłużył sie exploitem stworzonym jakiś czas przed zawodami.

Wkrótce potem przyszła kolej na aplikację Microsoftu - w zmaganiach z Internet Explorerem 8 górą okazał się być haker przedstawiający się jako Nils. Portfel tego osobnika powiększył się pierwszego dnia konkursu łącznie o 15 tys. dolarów, gdyż oprócz włamania przez IE dokonał on skutecznych ataków na Safari i Firefoksa!

Charlie Miller (po lewej) - łowca luk w oprogramowaniu Apple. Za swój wyczyn na tegorocznym PWN2OWN wygrał już MacBooka i 5 tys. dolarów

Charlie Miller (po lewej) - łowca luk w oprogramowaniu Apple. Za swój wyczyn na tegorocznym PWN2OWN wygrał już MacBooka i 5 tys. dolarów

Fakt, iż pierwszego dnia nie udało się włamać do żadnego z systemów operacyjnych urządzeń mobilnych, nie jest jednak zaskoczeniem. Reguły określające charakter przeprowadzanych ataków były bowiem bardzo sztywne - od uczestników wymagano np. aby używane przez nich exploity działały bez żadnej interakcji użytkownika smartfona. Zgodnie z regulaminem, poziom trudności konkursu ma być obniżany w kolejnych etapach. Pierwszego dnia rywalizacji hakerzy próbowali włamania do smartfonów m.in. przez sieć Wi-Fi - teraz umożliwi im się szukanie dziur w dołączonych do urządzeń aplikacjach.

Pierwsza osoba, której uda się włamać do dowolnie wybranego smartfona, będzie mogła go zachować i korzystać przez rok w ramach umowy abonamentowej. Może też liczyć na nagrodę w wysokości 10 tys. dolarów. W przeciwieństwie do poprzednich edycji konkursu nagrody podobnej wysokości otrzyma każdy, komu uda się obejść zabezpieczenia systemu i włamać do urządzenia. Nagrodą za każde wykorzystanie luki w przeglądarce i włamanie do komputera osobistego jest 5 tys. dolarów. Komputer, który jako pierwszy padnie ofiarą włamania, przejdzie na własność autora ataku.

Informacje o błędach w aplikacjach, wykrywanych w czasie trwania konkursu, są skrzętnie gromadzone przez jego organizatora - firmę TippingPoint - i przekazywane producentom oprogramowania.

Wiecej informacji:

CanSecWest

TippingPoint


Zobacz również