Ради спортивного интереса

0

11 марта в канадском Ванкувере завершился пятый ежегодный конкурс Pwn2Own. В этом мероприятии приняли участие профессиональные взломщики операционных систем и браузеров, занимающиеся поиском уязвимостей в популярном программном обеспечении различных производителей. В этом году на конкурсе успешно взломали ноутбук MacBook Air и смартфон iPhone 4, а также смартфон BlackBerry и браузер Internet Explorer. В награду хакеры получили денежное вознаграждение, а информация о способе взлома программ была передана их разработчикам.

Каждый год организаторы конкурса несколько видоизменяют его. Так, в 2011 году усилия хакеров сосредоточили на взломе браузеров. Программу конкурса разделили на две группы: отдельно взламывали компьютерные и мобильные браузеры.

Ко взлому на Pwn2Own подошли обстоятельно. Фактически устроили спортивное соревнование. Участники ставятся в равные условия – каждой группе выдается устройство с установленным ПО последней версии. Для осуществления взлома хакерам необходимо представить новое собственное решение и сделать это быстрее конкурентов.

В первый же день Pwn2Own взломали браузеры Safari, работающий на MacBook Air с последней версией операционной системы Mac OS X, и Internet Explorer 8, установленный на компьютере с ОС Windows 7. Победители получили по 15 тысяч долларов от организаторов соревнования – компьютерной фирмы TippingPoint, принадлежащей HP. Также им достались сами компьютеры, которые использовались для совершения взлома.

Перед хакерами ставились две обязательные задачи. Во-первых, получить контроль над компьютером и запустить на нем калькулятор. Эта на первый взгляд безвредная шутка показывает, что хакерам удалось преодолеть защитные механизмы операционной системы. Второе условие – запись на жесткий диск компьютера любого файла. Победители взлома MacBook сделали это всего за пять секунд.

Задача у конкурсантов на самом деле сложнее, чем кажется. Для взлома профессиональные хакеры работают с компьютерами, на которые установлена версия браузера двух-трехнедельной давности. А буквально накануне конкурса все крупнейшие поставщики этих решений за исключением Microsoft: Google, Apple и Mozilla выпустили новые версии браузеров, в которых исправили некоторые уязвимости. Уловка организаторов заключалась в том, чтобы метод взлома, использовавшийся в ходе Pwn2Own, работал и на обновленной версии браузера.

Во второй день участники сосредоточились на мобильных браузерах. Организаторы предложили хакерам поупражняться на iPhone 4 с iOS, смартфоне BlackBerry Torch на базе одноименной операционки, а также устройствах на Google Android (Nexus S) и Windows Phone 7 (Dell Venue Pro). Успешными оказались взломы iPhone и BlackBerry.

Свидетельством успешного взлома мобильной ОС являлось копирование списка контактов и библиотеки фотографий со смартфона. Причем это необходимо сделать удаленно, не совершая манипуляций с самим аппаратом. Разрешалось лишь подключить его к компьютеру. Победителям хватило нескольких секунд для взлома.

Кстати, взломщик iPhone, Чарли Миллер, стал победителем Pwn2Own уже в четвертый раз. До этого он специализировался на взломе ноутбуков Apple. Как рассказал Миллер, поиск уязвимости в мобильном браузере Safari занял у него неделю, а окончательное решение хакер подготовил лишь ночью перед началом конкурса.

Организаторы сделали послабление и позволили Миллеру получить денежный приз, несмотря на то, что обнаруженная им уязвимость была устранена в новой версии iOS 4.3, выпущенной за два дня до конкурса.

Интересно, что никто из участников так и не решился взломать Android или WP7. Конкурсанты либо отозвали свои заявки, либо просто не явились на мероприятие. Такая же участь ждала и Chrome. Однако браузер Google достоин небольшого отступления. Дело в том, что поисковик на регулярной основе выдает деньги хакерам за выявление уязвимостей, причем сумма вознаграждения зачастую составляет несколько тысяч долларов. Так, один из участников, заявившихся на Pwn2Own, открыто заявил, что направил информацию о выявленной им уязвимости непосредственно в Google, не дожидаясь проведения конкурса. При этом Google все равно решил "попиариться" за счет Pwn2Own и предложил дополнительную награду в 20 тысяч долларов за взлом Chrome. Однако желающих не нашлось.

По традиции вся информация о взломах и обнаруженных участниками конкурса уязвимостях браузеров собирается организаторами и передается разработчикам. В частности, специалисты Microsoft отчитались в твиттере, что лично присутствовали на мероприятии и уже изучают детали уязвимости, использовавшейся для взлома IE8.

Все заинтересованные стороны остаются довольными. Организаторы Pwn2Own получили бесплатную рекламу в виде большого числа публикаций, посвященных конкурсу. Победители стали известными и получили немалые денежные призы и гаджеты. А разработчики браузеров узнали, как именно они могут улучшить свои решения до того, как этими уязвимостями воспользуются другие хакеры – не ради спортивного интереса.

Дмитрий Читая,
Lenta.ru

Поделиться.

Комментарии закрыты