На ежегодном чемпионате для хакеров pwn2own 2011 в Ванкувере, проводящегося в рамках конференции CanSecWest, хакеры успешно обошли системы защиты и взломали популярные браузеры Internet Explorer 8 от Microsoft и Safari от Apple. Единственной "непобежденной" программой для просмотра сайтов (правда, претендовавший на нее "взломщик" не явился на конкурс) пока остается Google Chrome.
По условиям pwp2own 2011, хакеры должны "вскрыть" самую последнюю стабильную версию браузера. Задача считается выполненной, если у них получится запустить через интернет-обозреватель произвольный код. В этом случае "взломщик" получает деньги и устройство, на котором работал браузер.
Стоит отметить, что на этот раз задача была заметно усложнена: хакерам также требовалось выбраться из "песочницы" (sandbox) — безопасной среды, которая изолирует системные процессы и делает проникновение вредоносного кода очень сложным.
Первым "пал" браузер Safari 5.0.3, запущенный на платформе Mac OS X 10.6.6. По словам соучредителя французской VUPEN Шауки Бекрара, взломавшей "яблочный" браузер всего за пять секунд, его команде перед этим понадобилось две недели, чтобы разработать нужный эксплойт.
Вторым был "вскрыт" Internet Explorer 8 на 64-разрадной Windows 7 с последним пакетом обновлений Service Pack 1. Это удалось сделать Стивену Фьюверу, эксперту по безопасности из Ирландии. Специалист отметил, что для взлома IE8 он использовал целых три отдельных уязвимости, одна из которых касалась "песочницы" Protected Mode ("Защитный режим"). Для успешного обхода системы защиты браузера от Microsoft Фьюверу потребовалось пять-шесть недель.
Третьей "жертвой" хакеров должен был стать Chrome, однако участник, претендовавший на взлом этого браузера, так и не явился на конкурс. Издание Ars Technica объясняет это тем, что накануне Google обновила систему безопасности своего браузера, закрыв по меньшей мере 24 уязвимости. Хакер, рассчитывавший воспользоваться одной из этих "дыр", по всей видимости, после этого потерял интерес к соревнованию. Отметим, что Chrome участвует в pwn2own с 2009 года и еще ни разу не был взломан.
За месяц до начала pwn2own 2011 Google пообещала вручить первому хакеру, у которого получится "вскрыть" ее браузер, самую щедрую за всю историю чемпионата награду: 20 тысяч долларов и ноутбук CR-48 на "облачной" платформе Chrome OS.
В рамках pwn2own 2011 хакерам предстоит взломать еще один популярный браузер — Mozilla Firefox, а также смартфоны Dell Venue Pro на платформе Windows 7, iPhone 4 с iOS, BlackBerry Torch 9800, работающего под управлением BlackBerry 6 OS и Nexus S с "осью" Android. За успешную атаку на все эти программы участникам pwn2own 2011 будет предложено в общей суме 105 тысяч долларов.
|