markasblog

Minął rok od poprzedniego konkursu Pwn2Own. Wczoraj w ramach akcji Zero Day Initiative, specjaliści ds. bezpieczeństwa oraz hakerzy stanęli w szranki, aby pokazać jak dobrzy są, a i przy okazji udowodnić, że przeglądarki, z których korzystamy wcale takie bezpieczne za jakie je uważają ich producenci nie są. Wyjątkiem tutaj jest Opera, która nie wystawiła swojego produktu do konkursu oraz Chrome, do którego w pierwszy dzień konkursu nawet nikt nie podszedł. Okazuje się bowiem, że produkt Google jest najtrudniejszą do złamania przeglądarką wśród tych najpopularniejszych. Konkurs jeszcze się nie skończył. Przed nami jeszcze dwa dni konkursu i może się okazać, że po zmianie platformy i Chrome polegnie.

W skrócie plan tegorocznego konkursu:

Dzień 1.

Hakerzy mieli okazję zmierzyć się z następującymi zestawieniami produktów:

• Microsoft Internet Explorer 8 on Windows 7
• Mozilla Firefox 3 on Windows 7
• Google Chrome 4 on Windows 7
• Apple Safari 4 on MacOS X Snow Leopard

Złamano zabezpieczenia wszystkich przeglądarek za wyjątkiem Google Chrome.

Dzień 2.

• Microsoft Internet Explorer 7 on Windows Vista
• Mozilla Firefox 3 on Windows Vista
• Google Chrome 4 on Windows Vista
• Apple Safari 4 on MacOS X Snow Leopard

Dzień 3.

• Microsoft Internet Explorer 7 on Windows XP
• Mozilla Firefox 3 on Windows XP
• Google Chrome 4 on Windows XP
• Apple Safari 4 on MacOS X Snow Leopard

Jednocześnie n a próbę wystawione są platformy mobilne. W tym roku hakerzy mają do dyspozycji:

• Apple iPhone 3GS
• RIM Blackberry Bold 9700
• Nokia E72 device running Symbian
• HTC Nexus One running Android

Jako pierwszy poległ w tej grupie iPhone, który został złamany z wykorzystaniem luki w mobilnej wersji przeglądarki Safari. Atakującemu udało się skopiować wszystkie wiadomości tekstowe z urządzenia.

Pula nagród przewidziana na ten rok to 40 000 $ dla osób zajmujących się platformami stacjonarnymi oraz 60 000 $ dla osób próbujących złamać zabezpieczenia platform mobilnych. Dodatkowo każdy z uczestników otrzyma sprzęt, na którym pracował podczas przeprowadzenia ataku.

Tego typu konkursy pokazują jak bardzo w błąd nas wprowadzają producenci przeglądarek internetowych. Bezpieczeństwo to mrzonka. Na tle większości jedynie Chrome wydaje się być ciekawą alternatywą. Mechanizm sandbox najwyraźniej sprawia bardzo dużo problemów hakerom. Jest to kolejny mur na drodze do przejęcia kontroli nad atakowanym środowiskiem. Hakerzy przyznają, że w Chrome są luki, które można by łatwo wykorzystać, gdyby właśnie nie sandbox.

O Operze po tych zawodach prawdy się nie dowiemy. Producent nie wystawia swojego produktu do konkursu. Zastanawiam się czemu. Czy to postępowanie jest związane z obawami przed możliwością obalenia mitu o bezpieczeństwie i stabilności oprogramowania spod znaku Opera Software? Boi się konkurencji? Ma obawy przed negatywną reklamą, której ofiarą może paść szybciej niż Internet Explorer? Szczerze powiem, że nie widzę jakiegoś sensownego wytłumaczenia tej sytuacji. Polityka opery dla mnie jest nie jasna. Pewnie dlatego nigdy nie zagości u mnie jako default browser.

Podobne wpisy

1. Google i Mozilla przygotowywują swoje przeglądarki do Pwn2Own
2. Pwn2Own już w marcu. Google szykuje sporą kasę dla pogromców swojej przeglądarki
3. Chrome już odporny na lukę w Flash Player
4. Pwn2Own 2012 – Google wrzuca milion dolarów do puli nagród
5. Microsoft wykrył lukę w Chrome Frame, a Google ją załatało