Pwn2own 2012: tym razem na ewentualnego pogromcę Google Chrome czeka naprawdę spora kasa

Konkurs Pwn2Own stał się już częścią hakerskiej tradycji. Spotykający się na konferencji CanSecWest eksperci od bezpieczeństwa dostają do ręki laptopy, na których zainstalowano różne przeglądarki, by dzień po dniu, przy rosnących ułatwieniach, próbować się do nich włamać. Zwycięzca bierze laptopa i nagrodę pieniężną, staje się też „z automatu” sławny, gdy prasa branżowa (i nie tylko branżowa) rozpisuje się w zachwycie, jak to haker rozprawił się z Safari czy Internet Explorerem. Jak do tej pory jedynie Google Chrome nie dało hakerom zarobić – ale teraz, wraz ze zmianą reguł, może się to zmienić.

Sponsorem głównej nagrody Pwn2Own będzie samo Google, które zapewne jest już zmęczone faktem, że nikt nie potrafi skutecznie zaatakować przeglądarki z Mountain View. „Co za potwora oto wyhodowaliśmy?” – myślą zapewne programiści giganta. Tę dobrą passę Chrome przerwać mogą jednak większe pieniądze. Tym razem główna nagroda w Pwn2Own wyniesie bowiem czterokrotnie więcej niż wcześniej – 60 tys. dolarów.

Na napastników będą, jak dotąd, czekały najnowsze stabilne wersje Internet Explorera, Firefoksa, Chrome i Safari (pierwsze trzy browsery pod kontrolą Windows, ostatni pod kontrolą Mac OS-a X). Tym razem jednak nie będą one natychmiast wyłączane z konkursu, zaraz po tym, jak ich zabezpieczenia upadną. Organizatorzy wprowadzają nowy system punktowy, dzięki któremu ma zostać zademonstrowanych więcej ciekawych włamań.

Za każdy zademonstrowany pierwszego dnia exploit, badacze otrzymają po 10 punktów. Jeśli pokaz przypadnie na dzień drugi, nagrodzone to zostanie dziewięcioma punktami, jeśli zaś na dzień trzeci konkursu, przyznane zostanie już tylko osiem punktów. Dla tych, którzy przyniosą ze sobą zupełnie wcześniej nieznane exploity (0-day), przewidziano specjalny bonus: 32 punkty.

Jak wspomnieliśmy, badacz, który zdobędzie najwięcej punktów, wygra 60 tys. dolarów. Drugi w rankingu zadowoli się kwotą 30 tys. USD, trzeci – 15 tys. USD. Dodatkowo za każdy exploit znaleziony w Google Chrome przypadnie 20 tys. USD, a 10 tys. USD za każdy błąd, który pozwoli złośliwemu kodowi na wydostanie się z sandboksa przeglądarki.

Niestety takich dodatkowych nagród nie zdecydowały się ufundować Microsoft, Apple i Mozilla. Jednak wydobycie pieniędzy od Google'a może być bardzo trudne – w zeszłym roku jeden z zwycięzców pwn2own, Charlie Miller przyznał, że za łamanie Chrome powinno się płacić milion. Dodał też, że co prawda zna pewną lukę w Chrome, ale nie wie jak ją wykorzystać – nie sposób się wydostać z sandboksu przeglądarki.

Pozostaje nam czekać do marca – o wynikach konkursu będziemy informowali niezwłocznie.

źródło: computerworld.com | pic: sxc.hu/thenys

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

4 skomentuj »

Komentarze

#1 grzesiek1651 2012-01-24 12:51:21 0
Jeśli i tym razem Chrome nie zostanie złamane to oznacza, że naprawdę jest to najbezpieczniejsza przeglądarka.
IP: 87.205.246.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
#2 qwe 2012-01-24 14:12:54 0
http://pwn2own.zerodayinitiative.com/rules.html

Dosyć dziwne są też zasady. Test '0-day' odbędzie się na Windows XP/Leopard. Tak by hakerzy mogli wykorzystać brak zabezpieczeń ASLR które pojawiły się od Windows Vista+ oraz w OSX Lion. Co ciekawe za udany atak uzna się nawet taki który nie wyjdzie poza 'sandbox' w przypadku Chrome oraz IE8 (protected mode). IE9 oczywiście nie będzie z uwagi na XP zamiast Visty lub 7

The browsers will be installed on Windows XP (for Firefox, IE, and Chrome) and Snow Leopard (for Safari). That way, the only exploit mitigation that must be overcome is DEP (no ASLR). Also, we will not require a sandbox or protected mode escape for any of the public vulnerability exploits.

Nie bardzo rozumiem jaki ma sens robienie konkursu na starych wersjach systemu. Szczególnie ze nie przetestują nawet IE9 którego nie ma pod XP, nie obejdą ASLR z którym walczyli w poprzednich latach itp.
IP: 89.72.5.[...] Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.77 Safari/535.7
#3 Marko86 2012-01-25 02:05:24 0
Bo XP jest najpopularniejszy
IP: 83.8.210.[...] Mozilla/5.0 (Windows NT 6.0) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.75 Safari/535.7
#4 anonim 2012-01-25 07:23:49 0
@qwe

Sponsorem głównym jest Google.

I oni chcą pokazać, że ich Chrome jest najlepsze.

A pokażą to tylko właśnie dzięki temu, że nie będzie IE9 oraz to, że nie ma dodatkowych zabezpieczeń typu ASLR, z których to również IE9 korzysta.

Tak, tak to tylko marketing czysty, jak nic ...

Pzdr
IP: 46.205.15.[...] Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.