Włam się i wygraj 10 tys. dolarów

W ramach konferencji CanSecWest, jaka odbędzie się w marcu br. w kanadyjskim Vancouver, zostanie zorganizowana kolejna odsłona konkursu hakerskiego PWN2OWN. Rywalizacja będzie przebiegać dwutorowo - uczestnicy zmagań będą włamywać się do systemów operacyjnych urządzeń mobilnych oraz wykorzystywać luki w przeglądarkach internetowych do przejęcia kontroli nad komputerem. Konkurs PWN2OWN (co w wolnym tłumaczeniu znaczy: "przejmij i wygraj") rozpocznie się 18 marca i potrwa trzy dni.

Zadaniem uczestników zawodów będzie włamanie do smartfonów pracujących pod kontrolą najpopularniejszych systemów operacyjnych dla urządzeń mobilnych: Windows Mobile, Google Android, Symbian, a także systemów używanych w urządzeniach iPhone oraz BlackBerry. Pierwsza osoba, której uda się włamać do dowolnie wybranego smartfona, będzie mogła go zachować i korzystać przez rok w ramach umowy abonamentowej. Nowością w porównaniu z poprzednimi dwoma edycjami PWN2OWN jest tryb przyznawania nagród - na sumkę 10 tys. USD może liczyć każdy, komu uda się obejść zabezpieczenia systemu i włamać do urządzenia. Przypomnijmy, że w 2007 r. była tylko jedna taka nagroda, zaś w roku ubiegłym - trzy.

Ciekawie zapowiada się również drugi etap rywalizacji - hakerzy będą próbować włamać się do komputera przez lukę w przeglądarce internetowej. Do ich dyspozycji zostaną oddane notebooki Sony Vaio pracujące pod kontrolą systemu Windows 7, z zainstalowanymi programami Internet Explorer 8, Firefox i Chrome, jak również MacBooki z systemem Mac OS X i przeglądarką Safari. W tym wypadku nagrodą za każdą wykorzystaną lukę będzie 5 tys. dolarów. Komputer, który jako pierwszy padnie ofiarą włamania, przejdzie na własność autora ataku.

Przejmij i wygraj

Poziom trudności konkursu ma być obniżany, jeśli zmagania nie wyłonią zwycięzców. Zgodnie z tym, pierwszego dnia rywalizacji hakerzy będą próbować włamania do smartfonów m.in. przez sieć Wi-Fi, potem umożliwi im się szukanie dziur w dołączonych do urządzeń aplikacjach. W wypadku konkursu przeglądarkowego zmagania rozpoczną się od ataków na aplikacje w pełni załatane, w standardowych konfiguracjach (potem dojdą do nich wtyczki innych firm, takie jak np. Flash Player).

Szczegóły dotyczące błędów i luk wykrytych i wykorzystanych w czasie konkursu nie zostaną publicznie ujawnione - należąca do koncernu 3Com Corp. firma TippingPoint, sponsor PWN2OWN, zgłosi je odpowiednim producentom.

Mac OS X, Vista i inne "ofiary"

Dwa lata temu zadanie uczestników polegało na włamaniu się do jednego komputera - MacBooka z Mac OS X.

W 2008 roku cele były trzy - Mac OS X 10.5.2, Windows Vista oraz Ubuntu Linux 7.10. Co ciekawe, najbardziej podatny na włamanie okazał się system Apple, który "poległ" już pierwszego dnia konkursu. Dwa dni później złamano Vistę (przez błąd we Flashu, rzekomo znany wcześniej firmie Adobe) zaś na zabezpieczenia Ubuntu hakerzy nie znaleźli sposobu. Komputer z Linuksem pozostał jednak niezłamany m.in. dlatego, że prawie nikt nie próbował tego zrobić - większość uczestników konkursu skupiła się na włamywaniu do Windows i Mac OS X (por. artykuł Linux: bezpieczny czy ignorowany?).

Autor skutecznego ataku na system Microsoftu odgrażał się wtedy, że za rok włamie się do Linuksa - dla zabawy.

Inicjatywa Dnia Zero

W 2005 r. spółka 3Com i jej oddział TippingPoint ogłosiły Inicjatywę Dnia Zero (Zero Day Initiative), której celem ma być odpowiedzialne udostępnianie informacji o lukach w zabezpieczeniach. Inicjatywa ma umożliwić aktywną ochronę przed nowo wykrywanymi lukami w zabezpieczeniach. W ramach tego programu, 3Com będzie nagradzać osoby zajmujące się bezpieczeństwem za przekazywanie informacji o nowo wykrytych lukach, zamiast publicznego ogłaszania potencjalnie szkodliwych informacji, narażających użytkowników i dostawców oprogramowania na zagrożenia.

Więcej informacji: Zero Day Initiative


Zobacz również