Pwn2Own: żadna z przeglądarek nie obroniła się przed hakerami

Żadnej z popularnych przeglądarek internetowych nie udało się przeżyć w konfrontacji z zawodnikami konkursu Pwn2Own. Na cyklicznie odbywającej się konferencji po raz kolejny pokazali, że przed producentami jeszcze długa droga walce z bezpieczeństwem ich aplikacji. Droga ta jest ważna także dla nas, ich użytkowników.

Konferencja CanSecWest jest bardzo dobrą okazją dla specjalistów i hobbystów zajmujących się bezpieczeństwem. Odbywający się w jej trakcie hakerski konkurs Pwn2Own od lat nie daje szans najróżniejszym aplikacjom i systemom operacyjnym. Zadanie nie jest łatwe: przy użyciu jeszcze nieznanych luk zawodnicy muszą przełamać zabezpieczenia atakowanych programów. Jeżeli im się to uda, w ramach wygranej otrzymują zarówno atakowany sprzęt jak i spore nagrody pieniężne. Dla nich jest to okazja do zarobienia i zasłynięcia w świecie, dla producentów możliwość poznania słabości w swoich aplikacjach, które nie zostały wykryte przez deweloperów i testerów.

Pierwszy dzień zawodów pozwolił rozłożyć na łopatki Adobe Flasha. Dokonała tego chińska grupa KeenTeam, której podobny wyczyn udał się w ubiegłym roku. Atak polegał na przepełnieniu stosu i wstrzyknięciu do aplikacji złośliwego kodu – zajęło to zaledwie 30 sekund. Udało im się również ominąć system nadawania uprawnień w Windowsie poprzez czcionki TrueType i odkrytą lukę w jądrze systemowym. Za całość otrzymali łącznie 85 tysięcy dolarów. Flash padł również ofiarą Nicolasa Joly, któremu udało się pokonać piaskownicę tej aplikacji. Kilka luk zostało wykrytych w Adobe Readerze, co doprowadziło do wypłaty kolejnych 60 tysięcy dolarów. Nasz rodak, Mariusz Młyński pokonał dwukrotnie Firefoksa pozwalając na nieautoryzowane podwyższenie uprawnień, za co utrzymał 55 tysięcy dolarów. Według specjalistów z HP, winą za to można obarczać fundamentalne błędy w systemie Windows.

Dosyć szybko dobrano się również do 64-bitowej wersji Internet Explorera 11, co udało się grupie 360Vulcan przy pomocy podatności związanej z niezainicjowaną pamięcią. Przeglądarkę tę udało się złamać także w drugim dniu imprezy. Rekordzistą jest JungHoon Lee z Korei Południowej, który zaprezentował udane ataki na IE11, Chrome w wersji stabilnej i beta, a także Safari dla komputerów Apple. Wykorzystał on w tym celu zarówno dziury 0-day w przeglądarkach, jak i podatności systemów operacyjnych, na których były uruchomione. Łączna pula nagród na tegorocznym Pwn2Own organizowanym przez HP i Google Project Zero wyniosła ponad 317 tysięcy dolarów.

Czy było warto? Oczywiście, że tak. Osoby biorące udział w konkursie nie tylko pokazują swój kunszt hakerski, nie tylko zarabiają na tym pieniądze, ale bezpośrednio przyczyniają się do zwiększenia bezpieczeństwa aplikacji, z których korzystamy na co dzień. Przeglądarka jest oknem na świat, niestety w wielu miejscach dziurawym. Nie da się tego uniknąć, możliwe jest jednak reagowanie na zgłoszenia i łatanie wszystkich znalezionych dziur. Produktu doskonałego natomiast nie ma i nie powinniśmy się spodziewać, że kiedykolwiek takowy powstanie.