Konkurs hakerski - smartfony wytrzymały, przeglądarki poległy
W poniedziałek, 16 marca rozpoczęła się w kanadyjskim Vancouver konferencja CanSecWest, poświęcona zagadnieniom komputerowego bezpieczeństwa. Od wczoraj trwają zaś zmagania uczestników towarzyszącego imprezie konkursu hakerskiego PWN2OWN, próbujących włamać się do systemów urządzeń mobilnych oraz komputerów. Co ciekawe, żadnego z pięciu atakowanych smartfonów nie udało się zhakować, natomiast przeglądarki internetowe, poprzez które włamywano się do komputerów, poległy wszystkie, co do jednej. A Safari padła jako pierwsza.
O szczegółach tegorocznej, trzeciej z rzędu, edycji konkursu PWN2OWN ( w wolnym tłumaczeniu: "przejmij i wygraj" ) informowaliśmy pod koniec lutego w artykule Włam się i wygraj 1. tys. dolarów.
Przypomnijmy, że zadaniem uczestników zawodów jest włamanie do smartfonów pracujących pod kontrolą najpopularniejszych systemów operacyjnych dla urządzeń mobilnych: Windows Mobile (HTC Touch), Google Android (G1), Symbian (Nokia N85), a także systemów używanych w urządzeniach iPhone oraz BlackBerry. Drugi etap rywalizacji polega na włamaniu się do komputera przez lukę w przeglądarce internetowej. Do dyspozycji zawodników oddane zostały notebooki Sony Vaio pracujące pod kontrolą systemu Windows 7. z zainstalowanymi programami Internet Explorer 8, Firefox i Chrome, jak również MacBooki z systemem Mac OS X i przeglądarką Safari.
Pod koniec pierwszego dnia zawodów Internet Explorer, Safari i Firefox były już zhakowane. Pierwszą przeglądarką, która nie wytrzymała hakerskiego naporu, była Safari, uruchomiona w systemie Mac OS X. Autorem ataku był nie kto inny jak Charlie Miller, zwycięzca ubiegłorocznego wydania konkursu, kiedy to w niespełna dwie minuty uruchomił złośliwy kod i przejął kontrolę nad komputerem MacBook Air pracującym pod kontrolą w pełni uaktualnionego systemu Mac OS X. "Safari to łatwy cel. Jest tam mnóstwo luk" - przyznał Miller w wywiadzie udzielonym tuż po skutecznym ataku na przeglądarkę. Wkrótce potem przyszła kolej na aplikację Microsoftu - w zmaganiach z Internet Explorerem 8 górą okazał się być haker przedstawiający się jako Nils. Portfel tego osobnika powiększył się pierwszego dnia konkursu łącznie o 1. tys. dolarów, gdyż oprócz włamania przez IE dokonał on skutecznych ataków na Safari i Firefoksa!
Fakt, iż pierwszego dnia nie udało się włamać do żadnego z systemów operacyjnych urządzeń mobilnych, nie jest jednak zaskoczeniem. Reguły określające charakter przeprowadzanych ataków były bowiem bardzo sztywne - od uczestników wymagano np. aby używane przez nich exploity działały bez żadnej interakcji użytkownika smartfona. Zgodnie z regulaminem, poziom trudności konkursu ma być obniżany w kolejnych etapach. Pierwszego dnia rywalizacji hakerzy próbowali włamania do smartfonów m.in. przez sieć Wi-Fi - teraz umożliwi im się szukanie dziur w dołączonych do urządzeń aplikacjach.
Pierwsza osoba, której uda się włamać do dowolnie wybranego smartfona, będzie mogła go zachować i korzystać przez rok w ramach umowy abonamentowej. Może też liczyć na nagrodę w wysokości 1. tys. dolarów. W przeciwieństwie do poprzednich edycji konkursu nagrody podobnej wysokości otrzyma każdy, komu uda się obejść zabezpieczenia systemu i włamać do urządzenia. Nagrodą za każde wykorzystanie luki w przeglądarce i włamanie do komputera osobistego jest 5 tys. dolarów. Komputer, który jako pierwszy padnie ofiarą włamania, przejdzie na własność autora ataku.
Informacje o błędach w aplikacjach, wykrywanych w czasie trwania konkursu, są skrzętnie gromadzone przez jego organizatora - firmę TippingPoint - i przekazywane producentom oprogramowania.
Wiecej informacji:
CanSecWest - http://cansecwest.com/
TippingPoint - http://dvlabs.tippingpoint.com/
