Csillaghullás volt a hackerversenyen

A Pwn2Own nemzetközi hackerverseny résztvevői minden alkalmazást térdre kényszerítettek, ami csak a kezük közé került.
 

A múlt hét második felében felpörögtek a biztonsági események, ami annak volt köszönhető, hogy megnyitotta kapuit a vancouveri CanSecWest konferencia. A rendezvénynek évek óta az adja a legnagyobb hírverést, hogy ott rendezik meg a Pwn2Own nemzetközi hackerversenyt, amelyen idén is megvolt a kötelező "csillaghullás".

A Pwn2Own célja, hogy az alkalmazások sebezhetőségeinek feltárásával foglalkozó szakemberek, etikus hackerek számára olyan környezetet biztosítson, amelyben megmérettethetik magukat. Ezzel nem kizárólag a versenyzők járnak jól, akik adott esetben nem kis pénzösszegekért versengenek, hanem az alkalmazásfejlesztők, valamint a biztonsági cégek is profitálhatnak belőle. A résztvevőknek ugyanis meg kell osztaniuk a verseny főszponzorával (a HP ZDI-vel) azokat az információkat, illetve exploit kódokat, amiket felhasználnak egy-egy alkalmazás feltörése során. Ezek az információk pedig eljutnak a szoftverfejlesztőkhöz, akik befoltozhatják a biztonsági réseket. Így végső soron a felhasználók lesznek a legnagyobb nyertesei az eseménynek, akik - ha rendszeresen frissítik a telepített szoftvereiket - számos gyenge ponttól szabadíthatják meg a rendszereiket.

Az első nap

A Pwn2Own első napján a versenyzők az Internet Explorer 11, a Firefox, az Adobe Flash, valamint az Adobe Reader ellen szálltak harcba. Nem is sikertelenül, ugyanis mindegyik szoftvert meghackelték. Ezáltal összesen 400 ezer dollár jutalom került kiosztásra a nap végén. Idén is a francia Vupen cég csapata aratta le a legtöbb babért, amely 300 ezer dollárral gazdagabban kezdhette meg az esti pihenőt. A csapattagok először az Adobe Reader XI kiadásában használtak ki egy puffertúlcsordulási hibát és egy sanbox megkerülésre alkalmas PDF-sebezhetőséget. Aztán következett az Internet Explorer 11 egy Windows 8.1 operációs rendszert futtató notebookon, majd végül a Firefox és a Flash is elesett.

A Firefox esetében nemcsak a Vupen mutatott be sikeres támadást, hanem Mariusz Mlynski és Jüri Aedla is, akik az eredeti kiírás szerint ugyan nem kaphattak volna jutalmat, mivel az csak alkalmazásonként az első sikeres hackelés után jár. A szervezők azonban gyorsan átírták a szabályokat, hogy a két kutatót is elismerésben részesíthessék. Itt kell megjegyezni, hogy a versenyre minden résztvevő nagyon felkészülten érkezett, így sokszor pár perc alatt demonstrálták a felfedezésüket, és utána hosszasan konzultáltak a fejlesztőkkel, akikkel minden információt megosztottak a hibákkal kapcsolatban.

A második nap

Az alkalmazások ostromlása a második napon is erőteljesen folytatódott, amit mi sem bizonyít jobban, mint hogy a nyeremények napi összértéke elérte a 450 ezer dollárt. Ezen a napon a Google Chrome, az Internet Explorer, az Apple Safari, a Firefox és Adobe Flash Player került a figyelem középpontjába, amelyek mindegyikén sikerült kritikus hibát kimutatniuk és kihasználniuk a versenyzőknek. A Vupen csapata levezetésként elsősorban a Google Chrome-ra koncentrált, és a WebKitben, valamint a Blinkben feltárt sérülékenységeknek köszönhetően sikerült megkerülniük a böngésző sandbox védelmét.

Egy maradt állva

A versenyen akadt még egy támadható célpont, ami nem más volt, mint a Java. Sokak meglepetésére a Javát nem sikerült meghackelni, igaz a legtöbb versenyző a webböngészőkre helyezte a hangsúlyt. Mindenestre a szervezők is több Java alapú támadásra számítottak.

Brian Gorenc, a ZDI kutatója nem kívánta elárulni, hogy neki melyik támadás tetszett a legjobban. "Mindegyik exploit a maga nemében egyedülállóra sikerült. Lenyűgöző volt látni, ahogy a résztvevők különböző módokon kerülték meg a sandboxokat, és fűzték egymásba a különféle sérülékenységeket" - nyilatkozta a szakember.