Durván ostromolták a szoftvereket a fehérkalapos hackerek

A Pwn2Own hackerversenyen sorban dőltek a dominók. Egyetlen alkalmazás sem bírta a versenyzők nyomását, akik összességében több mint 800 ezer dollárral a zsebükben tértek haza a megmérettetés után.
 

A Pwn2Own hackerkonferencia az elmúlt években az egyik legelismertebb hackerrendezvénnyé vált. Idén ráadásul még nagyobb várakozások előzték meg a kétnapos rendezvényt, ugyanis a szokásos, magas pénzdíjak mellett immár nemcsak a HP Zero Day Initiative, hanem a Google (Project Zero) is teljes mellszélességgel kiállt az esemény mellett. Vagyis a két nagy összefogott annak érdekében, hogy egy valóban izgalmas versenyt sikerüljön lebonyolítani. A Pwn2Own - hasonlóan több más hackerversenyhez - valójában nem arról szól, hogy melyik résztvevő mennyi jutalmat kasszíroz be. A fejlesztők és a felhasználók szempontjából ennél sokkal lényegesebb, hogy olyan sebezhetőségekre derül fény, amelyeket gyorsan meg lehet szüntetni, és a kiberbűnözőket megelőzve lehet védelmi intézkedéseket tenni.
 
Az első nap

A csillaghullás már az első napon megkezdődött. Először három résztvevő az Adobe Flash ostromlásának látott neki, és rövid időn belül sikerült is kihasználniuk egy puffertúlcsordulási hibát, amiért rögtön 60 ezer dollár ütötte a markukat. Ehhez pár perc múlva további 25 ezer dollár társult, amikor rendszerszintű kódfuttatást is sikerült megvalósítaniuk egy Windows kernel hiba, valamint speciálisan szerkesztett TrueType fontok felhasználásával. Az Adobe alkalmazásainak sorsa azonban igazán akkor pecsételődött meg, amikor érkezett Nicolas Joly, aki mind az Adobe Readert, mind az Adobe Flash-t sikeresen térdre kényszerítette. Mindkét esetben puffertúlcsordulási hibákat tárt a zsűri elé, és a sandbox megkerülésére is talált módot.
 
Az első napon Mariusz Mlynsk jóvoltából a Firefox böngészőben is fény derült egy súlyos sérülékenységre, de az Internet Explorer 64 bites verziója sem bírta sokáig a gyűrődést. Mindkét böngészőn keresztül sikerült jogosulatlan kódfuttatást elérniük a versenyzőknek.
 
Az első napon a rendezők 317.500 dollárt osztottak szét a fehérkalapos hackerek között.  
A végére is maradt izgalom

A második nap ott folytatódott, ahol az első abbamaradt, igaz a pénzdíjak szempontjából kicsit már visszafogottabban alakult. Még így is 235.000 dollár talált gazdára, amikor két Windows, két Internet Explorer, egy Firefox, két Apple Safari és egy Google Chrome biztonsági rést sikerült kihasználniuk a résztvevőknek. Ezek közül mindenképpen ki kell emelni a Chrome-ot ostromló JungHoon Lee (lokihardt) nevű versenyzőt, aki egy olyan komoly sérülékenységre derített fényt, amelyet 110 ezer dollárral honorált a zsűri. Ez a díj az eddigi legnagyobb a Pwn2Own történetében. JungHoon Lee egyébként nemcsak a Chrome feltörésében jeleskedett, ugyanis az Internet Explorer, valamint a Safari egyik sebezhetőségének feltárása is az ő nevéhez fűződik. Összességében Lee lett a 2015-ös Pwn2Own legsikeresebb versenyzője - 225 ezer dollárral térhetett haza.  
A szervezők jelezték, hogy a díjazott versenyzőknek át kellett adniuk a biztonsági résekkel kapcsolatos legmélyebb szintű technikai információkat, és azokat nem hozhatják nyilvánosságra, legalábbis addig nem, amíg az érintett alkalmazások fejlesztőinek nem sikerül orvosolniuk a hibákat. A HP Zero Day Initiative már értesítette a felfedezett sebezhetőségekről a fejlesztőcégeket, amelyek neki is láthattak a foltozásnak. Várhatóan a napokban, hetekben olyan frissítések fognak megjelenni a fentiekben említett szoftverekhez, amely legalább részben a Pwn2Own versenyzőinek nevéhez fűződnek majd.