Sorra buktak el a böngészők a Pwn2Own hackerversenyen

Az Internet Explorer, a Firefox, a Safari és a Chrome is "megdőlt" a CanSecWest IT-biztonsági konferencián rendezett Pwn2Own versenyen, ahol a böngészők sebezhetőségein keresztül kellett távoli kódot futtatni, a sikeresen próbálkozók pedig több tízezer dollárnyi nyereménnyel távozhattak. A megtalált sérülékenységeket a szervezők azonnal megosztják a gyártókkal, így azok elkészíthetik a javításaikat.

Mindenki megdőlt

A vancouverben rendezett esemény első napján "bemelegítésként" a Google és a szervező HP Zero Day Initiative biztonsági szakértői törték fel a legújabb OS X-en futó Safarit és a legfrissebb patcheket tartalmazó Windows 8.1-en futó Internet Explorer 11-et - a behatoláshoz használt sérülékenységekről a szakértők értesítették a megfelelő szoftverek gyártóit - a HP csapata állítólag több mint hat befoltozatlan sebezhetőséget talált a Microsoft böngészőjében.

A francia Vupen biztonsági tanácsadócég szakértői sikeresen kompromittálták a Firefoxot, az Internet Explorert, a Safarit és az Adobe Readert és Flash-t, a második napon pedig a Chrome ellen mutattak be sikeres támadást egy use after free sebezhetőségen keresztül, amely után a böngésző sandboxából is ki tudtak törni és saját kódjukat tudták futtatni. A kihasznált sérülékenység a WebKit, illetve a Google által fejlesztett Blink böngészőmotorban egyaránt megtalálható a támadók elmondása szerint.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A Chrome ellen sikeres támadást indított egy magát megnevezni nem kívánó hacker is, azonban a Pwn2Own bírái végül "nem adták meg" a győzelmet a támadónak, mivel a módszere már korábban publikált eljáráson alapult. A Firefoxnak nem sikerült igazán jól az idei tavaszi Pwn2Own, a Vupen szakértői mellett a PlayStation 3 és az iPhone védelmének feltörésével széles körű ismertségre szert tevő George "GeoHot" Hotz is sikeresen támadta a böngészőt, mint ahogy más biztonsági szakértők is.

Az értékes díjak értékes ismereteket szülnek

Az eseményt szervező HP ZDI vezetője, Brian Gorenc szerint az idei Pwn2Ownra volt az eddigi legtöbb jelentkező, összesen 16. A hatalmas pénzdíjak miatt az esemény "úgy vonzza a biztonsági szakértőket mint a játékautomata", és egy felkészült hacker akkora pénzdíjat is nyerhet, ami egy egész évre biztosítja a megélhetését, bár ez nem könnyű. A Vupen csapata összesen 400 ezer dollárt zsebelt be idén, ami a Pwn2Own hét éves történelmének legnagyobb összesített nyereménye - a csapat saját bevallása szerint a felkészülés és a sérülékenységek megtalálása másfél hónapnyi munkába került.

A Vupen vezető biztonsági kutatója és egyben vezetője, Chaouki Bekrar szerint a böngészők biztonsága folyamatosan fejlődik, részben az Pwn2Ownnak köszönhetően. "A Pwn2Own legnagyobb értéke, hogy megmutatja, még a legbiztonságosabb szoftvereket is fel tudja törni egy csapat jól képzett kutató a megfelelő erőforrások birtokában." Bekrar szerint a böngészőket fejlesztő csapatok sokat tanulnak a saját és egymás hibáiból, aminek köszönhetően a webböngészés összességében egyre biztonságosabb. "A díj azért ilyen értékes, mert sokat tudunk tanulni belőle" - mondta Chris Evans, a Google Chrome biztonsági csapatának mérnöke.

Az idei Pwn2Own versenyen összesen 850 ezer dollárnyi pénzdíjat osztottak szét, a 150 ezer dolláros"fődíjat" ugyanakkor senki sem nyerte meg. Ezt egy olyan támadásért adták volna oda a szervezők, amely sikeresen futtat kódot egy legújabb patcheket tartalmazó Windows 8.1-en az Internet Explorer 11-en keresztül úgy, hogy a Microsoft Enhanced Mitigation Experience Toolkit is telepítve van.

A Pwn2Ownnal egyszerre zajlott a Google saját versenye, a Pwnium, ahol George Hotz 150 ezer dollárt nyert egy Chromebook feltörésével.