pwn2own, dzień pierwszy. Hakerzy nie mieli litości dla Apple'a i Microsoftu

Trwa tegoroczna edycja znanych hakerskich igrzysk – konkursu pwn2own, organizowanego jako część konferencji poświęconej bezpieczeństwu IT CanSecWest. Przypomnijmy, że jeśli startującym w nim badaczom uda się przejąć kontrolę (pwn) nad przeglądarką i zmusić ją do uruchomienia dowolnego kodu, dostają w nagrodę laptopa, na którym przeglądarka ta działała, oraz nagrodę finansową.

W teorii wyzwania, które stawiają przed badaczami producenci przeglądarek, są coraz trudniejsze. Popularyzacja techniki izolowania uruchamianego kodu w piaskownicach (sandbox) sprawiła, że obecnie napastnicy muszą nie tylko uruchomić własny kod w browserze, ale też wydostać się z sandboksu, uzyskując dostęp do systemu operacyjnego i jego systemu plików. Po pierwszym dniu igrzysk widać jednak, że chłopcy dali radę – pierwsze, jak zwykle, padły produkty Apple'a i Microsoftu.

Eksperci z francuskiej firmy VUPEN wrócą do domu z nowym ładnym MacBookiem Air 13” (i 15 tysiącami dolarów nagrody). Pięć sekund po tym, jak w pełni załatane Safari 5.0.3 działające pod kontrolą Mac OS-a X 10.6.6 odwiedziło ich spreparowaną stronę internetową, maszyna Apple'a wywiesiła białą flagę, uruchamiając systemowy kalkulator, dowodząc w ten sposób uruchomienie obcego kodu i zapisała plik na dysk, dowodząc obejście sandboksa.

Chaouki Bekrar, współzałożyciel firmy VUPEN, przyznał później, że prace nad wykorzystanym w ataku exploitem Safari zajęły trzem badaczom dwa tygodnie. Głównym problemem była mała ilość wiedzy poświęconej exploitowaniu 64-bitowego Safari. Same techniki obejścia mechanizmów randomizacji przestrzeni adresowej (ASLR) czy blokad wykonywania danych (DEP) są znane raczej od strony Windows. Co konkretnie Bekrar i jego zespół zrobili dowiemy się dopiero za jakiś czas, kiedy Apple wyda łatki dla Safari i Snow Leoparda, reguły konkursu zabraniają bowiem upubliczniania wiedzy o włamaniach przed wydaniem przez producenta odpowiednich poprawek.

Drugą w kolejności ofiarą badaczy stał się 32-bitowy Internet Explorer 8 uruchomiony na 64-bitowym Windows 7 z Service Packiem 1. Jego pogromcą okazał się Stephen Fewer z firmy Harmony, którego exploit, wykorzystując dwie niezależne luki przeglądarki zdołał uruchomić zewnętrzny kod (oczywiście był to systemowy kalkulator), a następnie dzięki trzeciej luce wydostać się z trybu Protected Mode. Przygotowanie tego wynagrodzonego 15 tysiącami dolarów i laptopem Sony Vaio majstersztyku zajęło Fewerowi pięć tygodni.

Trzecią przeglądarką, która miała być atakowana, było Google Chrome. I wszystko byłoby pięknie, gdyby nie to, że zawodnik, który zgłosił się do ataku na ten niepokonany od samego początku swojej obecności na pwn2own browser, nie zjawił się na miejscu. Możliwym powodem takiego obrotu sprawy jest wydanie przez Google'a aktualizacji Chrome'a, która wyeliminowała 24 luki. Być może przygotowany przez hakera exploit wykorzystywał właśnie jedną z nich? W każdym razie kolejny raz Chrome pozostało niezłamane.

Dzisiaj badacze zajmą się Firefoksem Mozilli, a następnie będą znęcać się nad zabezpieczeniami iPhone'a oraz telefonów z Androidem, BlackBerry OS-em i WindowsPhone 7.

źródło: zdnet.com, arstechnica.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

11 skomentuj »

Komentarze

#1 Wszerad 2011-03-10 09:09:06 0
Chrome dorwało delikwenta:D Albo odstał u nich prace wczoraj:D
IP: 213.17.128.[...] Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0b13pre) Gecko/20110303 Firefox/4.0b13pre
#2 dff 2011-03-10 10:39:14 -1
A co z Operą? Dlaczego nie ma o niej ani słowa? Została zignorowana przez organizatorów konkursu, czy autora artykułu? Pokaż komentarz
IP: 77.252.248.[...] Opera/9.80 (Windows NT 6.1; U; pl) Presto/2.7.62 Version/11.01
#3 grzesiek2 2011-03-10 10:44:02 0
To bez wątpienia sukces Google Chrome. No ale Google sporo zainwestowało w ten konkurs. W ciągu 2 tygodni pojawiły się poprawki wielu błędów krytycznych, a na kilka gdzin przed konkursem wydali nową wersję przeglądarki.

Podobną strategię zastosowało Apple. Wczoraj zrobiło przyspieszoną premierę iOS 4.3. Dzięki temu mają większe szanse zwycięstwa nad Androidem który ostatnio nie ma szczęścia w temacie zabezpieczeń (brak mechanizmu uaktualnień + krytyczna luka w wersjach 2.2.1 i starszych).

Szkoda tylko że testowano IE8 zamiasy IE9 który za 4 dni ma premierę. Ciekawe jaka wersja Firefoxa będzie testowana. Nowa wersja RC czy stara wersja 3.6. Byłoby lepiej gdyby testowane były wersje RC
IP: 89.72.5.[...] Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
#4 ~|~ 2011-03-10 11:05:35 1
Redaktorze Golański, miejże Pan litość!

Ja rozumiem, że wstawił Pan z rozpędu przecinek przed "oraz", ale napisać "dwa tygodnie czasu" jest już niewybaczalne!

@dff: Opera nie wystawia swoich produktów w tym konkursie.
IP: 212.160.99.[...] Opera/9.80 (Windows NT 5.1; U; pl) Presto/2.7.62 Version/11.01
#5 ompannu 2011-03-10 11:14:33 1
Widać także, że lament różnej maści narzekaczy na "dziurawość" przeglądarek i/lub na miesięczny cykl wydawania łat w przypadku MS nie ma większego sensu, skoro przygotowanie ataku zajmuje od dwóch do pięciu (!) tygodni. Można bowiem z dużą dozą prawdopodobieństwa przypuszczać, że panowie hakerzy - jak większość ludzi - wolałaby się nie wysilać i - jeśli tylko by się dało - zarobić swoje mniejszym wysiłkiem. A tu się okazuje, że owszem, można, ale trzeba się długo napracować.

Wynika także z tego, że w przyszłości, aby wyrównać szanse, należałoby brać do konkursu wersje przeglądarek minimum sprzed miesiąca (lub dwóch). Bo wygląda na to, że złamać można wszystko, ale wymaga to czasu.

@dff: w konkursie uwzględniane są popularne, a nie niszowe przeglądarki.
IP: 89.174.38.[...] Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
#6 kallosz^® 2011-03-10 11:27:32 0
"Szkoda tylko że testowano IE8 zamiasy IE9 który za 4 dni ma premierę."

Regulamin mówił wyraźnie że musi zostać wydana przed rozpoczęciem konkursu :)
IP: 195.114.182.[...] Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.127 Safari/534.16
#7 eimi^® 2011-03-10 11:30:50 0
@~|~ dziękuję za korektę i tępienie pleonazmów, nie oczekuję wybaczania i cieszę się, że nie jest Pan tylko gramatycznym nazistą, ale wnosi coś wartościowego do wątku.
IP: 188.146.220.[...] Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) Gecko/20110303 Firefox/4.0b13pre
#8 dAREuS^® 2011-03-10 12:13:40 0
@~|~, eimi, w lidzie przecinek przed oraz jest niezbędny. Juź poprawiłem.
IP: 188.121.11.[...] Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.127 Safari/534.16
#9 eimi^® 2011-03-10 12:30:06 0
Mam nadzieję, że ten wątek nie zderailuje jednak na kwestię przecinków. Fajnie wygląda słabość mechanizmów bezpieczeństwa Mac OS-a X na tle reklam Apple'a i mitu o odporności "jabłuszek" na malware. Taka ładna, spójna przewidywalna platforma to wręcz marzenie dla hakerów. McAfee zresztą wskazuje na nią jako nowy cel... a użytkownicy komputerów Apple'a są o wiele więcej warci, niż ludki od Windows. Zwykle są zamożniejsi, chętniej korzystają z bankowości elektronicznej - i wierzą, że nie potrzebują oprogramowania antywirusowego.

http://www.consumeraffairs.com/news04/2010/12/who-will-cybercriminals-target-in-2011.html
IP: 188.146.220.[...] Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) Gecko/20110303 Firefox/4.0b13pre
#10 grzesiek2 2011-03-10 12:57:41 0
@kallosz

"This year the web browser targets will be the latest release candidate (at the time of the contest) of the following products"

http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011

Dozwolone są wersje RC. Myślałem że będą więc testować IE9. Sam byłem ciekawy ponieważ niedawno przesiadłem się "dla testu" z Google Chrome i jakoś tak zostało. IE9 działa na moim komputerze dużo szybciej niż przeglądarka Google.

Ciekawe jaka wersja Firefoxa będzie testowana. Mam nadzieję że 4.0RC.
IP: 89.72.5.[...] Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
#11 Ole 2011-03-11 08:26:37 1
Mam nadzieję że będzie relacja z dnia drugiego :)
IP: 195.69.80.[...] Mozilla/5.0 (X11; Linux x86_64; rv:2.0.0) Gecko/20100101 Firefox/4.0

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.