Niespełna dwóch minut potrzebował niejaki Charlie Miller, by uruchomić złośliwy kod i przejąć kontrolę nad komputerem MacBook Air pracującym pod kontrolą w pełni uaktualnionego systemu Mac OS X - a także zdobyć w ten sposób 10 tys. USD i ów komputer. Miller wygrał właśnie jeden z trzech etapów konkursu PWN 2 OWN, zorganizowanego podczas odbywającej się w kanadyjskim Vancouver konferencji CanSecWest - na włamanie czekają jeszcze dwa komputery, pracujące pod kontrolą Windows Vista ( Fujitsu U810 ) oraz Ubuntu Linux ( VAIO VGN-TZ37CN ).
Konkurs PWN 2 OWN 200. ( w wolnym tłumaczeniu "przejmij i wygraj" ) to już druga edycja tej zabawy - pierwsza odbyła się rok temu, również podczas CanSecWest. Główna różnica między tegorocznym konkursem a tym sprzed 12 miesięcy polega na tym, że w ubiegłym roku rolę zadanie uczestników polegało na włamaniu się do jednego komputera - MacBooka z Mac OS X. W tym roku cele są trzy - Mac OS X 10.5.2, Windows Vista oraz Ubuntu Linux 7.10. Osoba, która jako pierwsza włamie się do jednej z maszyn wykorzystując nieznany wcześniej błąd w systemie ( lub domyślnie zainstalowanej w nim aplikacji ), pozwalający na nieautoryzowane uruchomienie kodu, otrzyma ów notebook oraz nagrodę w gotówce. Konkurs rozpoczął się 26 marca i potrwa do 28.
Fundatorem nagród - podobnie jak w ubiegłym roku - będzie firma TippingPoint ( należąca do koncernu 3Com Corp. ). _ "Przez wiele miesięcy zastanawialiśmy się, jak powinien wyglądać regulamin konkursu. Ostatecznie zdecydowaliśmy się przeprowadzić go tak, by był to dla uczestników prawdziwy test ogniowy" _ - mówi Dragos Ruiu, jeden z organizatorów konferencji. Ustalono, że jeśli ktoś zdoła włamać się do komputera "zdalnie", zgarnie 20 tys. USD ( i komputer ); jeśli uczestnik dokona tego uruchamiając podstawowe aplikacje dostarczone z systemem ( siedząc przy komputerze ) - dostanie 10 tys. USD i laptopa, zaś jeśli dokona tego poprzez atak na jeden z popularnych programów produkowanych przez zewnętrznego dostawcę, nagrodą będzie 5 tys. USD ( + komputer ). Każdego dnia konkursu można było przeprowadzać inny typ ataku - środa była dniem atakowania systemu przez sieć, w czwartek można było atakować system operacyjny i dołączone aplikacje siedząc przed komputerem, zaś w piątek celem ataku może być również
oprogramowanie dodatkowe.
Od początku konferencji - czyli od środy ( 26.III ) - uczestnicy mogli atakować wszystkie trzy maszyny. Komputery były podłączone do sieci lokalnej Ethernet ( w ubiegłym roku urządzenia podłączone były do Wi-Fi, jednak spowodowało to pewne problemy z weryfikacją informacji o atakach - dlatego zrezygnowano z sieci bezprzewodowej ).Reguły się zmieniają
Przez pierwszy dzień nic się nie wydarzyło - nikt nie zdołał włamać się do żadnego z trzech "wystawionych" maszyn. Dlatego też, aby podgrzać atmosferę, organizatorzy konkursu zdecydowali się na zmodyfikowanie zasad rozgrywki - pozwolili uczestnikom na korzystanie z tych komputerów w podstawowym zakresie. Zezwolono m.in. na wykonanie kilku standardowych czynności, takich jak np. otwieranie stron WWW czy odczytywanie wiadomości e-mail.
W nowej sytuacji jako pierwszy do działania przystąpił Charlie Miller, były pracownik amerykańskiej Narodowej Agencji Bezpieczeństwa ( NSA - National Security Agency ), ceniony specjalista ds. bezpieczeństwa ( był jedną z pierwszych osób, które w ubiegłym roku zdołały złamać zabezpieczenia iPhone'a ). Miller wykorzystał przeglądarkę internetową do otwarcia przygotowanej wcześniej strony WWW, której wyświetlenie spowodowało zainstalowanie w systemie złośliwego kodu pozwalającego na przejęcie pełnej, zdalnej kontroli nad systemem. Specjalista potrzebował na to niespełna dwóch minut, a jego wyczyn został oficjalnie potwierdzony przez nadzorującego próbę przedstawiciela firmy TippingPoint.
Tajny błąd
Na razie nie wiadomo, w jakiej aplikacji znajdowała się luka wykorzystana przez Millera - natychmiast po ogłoszeniu udanego włamania specjalista zobowiązał się do nieujawniania informacji na ten temat do czasu powiadomienia Apple'a o szczegółach problemu ( zobowiązał go do tego organizator konkursu ). Najbardziej prawdopodobne jest jednak, że problem dotyczy przeglądarki Safari. Z wypowiedzi przedstawicieli TippingPoint wynika, że Apple potwierdził już informację o problemie i firma przygotowuje odpowiednie uaktualnienie.
Luka warta 50 tys.
Za udane włamanie do Mac OS X Charlie Miller otrzymał 10 tys. USD nagrody oraz komputer, do którego się włamał. Warto jednak zaznaczyć, że nie jest to najwyższa nagroda, jaką ten specjalista zdobył za znalezienie błędu w popularnym oprogramowaniu - w 2005 r. za raport na temat poważnej luki w Linuksie anonimowa amerykańska agencja rządowa zapłaciła mu 50 tys. USD.
Podczas konkursu wśród uczestników pojawił się m.in. ubiegłoroczny zwycięzca - Dino Dai Zovi ( w zeszłym roku zdołał włamać się do Mac OS X przez lukę w zabezpieczeniach QuickTime'a ). Dai Zovi nie wziął udziału w tegorocznej edycji - stwierdził, że teraz chce dać szanse innym. W szranki stanął za to jego współpracownik sprzed 12 miesięcy - Shane Macaulay. Spędził on większość czwartku próbując włamać się do notebooka z Vistą - na razie bez efektów.
Vista i Ubuntu wciąż na celowniku
Podczas ostatniego dnia konkursu uczestnicy wciąż będą starali się sforsować zabezpieczenia komputerów z Windows i Linuksem - niewykluczone więc, że wkrótce poznamy kolejnych zwycięzców ( tym bardziej, że do konkursu ma stanąć kilku nowych specjalistów o sporym doświadczeniu ). Terri Forslof z TippingPoint tłumaczy, że wygranie PWN 2 OWN nie jest takim prostym zadaniem - bowiem nawet jeśli jakiś uczestnik znajdzie błąd w oprogramowaniu, to będzie to dopiero połowa sukcesu. _ "Znaleźć dziurę to jedno - ale stworzyć na szybko exploit, który pozwoli na wykorzystanie jej do przeprowadzenia skutecznego ataku na system to zdecydowanie bardziej skomplikowane zadanie" _ - mówi przedstawicielka TippingPoint.
Warto jednak zaznaczyć, że trzeciego dnia zasady konkursu ulegną dalszemu "poluzowaniu" - możliwe będzie atakowanie nie tylko systemu i aplikacji dostarczonych przez jego producenta, ale także popularnych programów innych firm, które zwykle instalowane jest wraz z OS-em. _ "Wątpię, czy uda nam się zabrać do domu jakiś komputer - sądzę, że obydwa systemy zostaną skutecznie zaatakowane" _ - mówi Forslof.
Więcej informacji znaleźć można na stronie konferencji CanSecWest - http://cansecwest.com/.
