Včera proběhl první den světové hackerské soutěže Pwn2Own, která představuje třešničku na dortu bezpečnostní konference CanSecWest. Ta se tradičně odehrává na jihozápadě Kanady – v Britské Kolumbii ve městě Vancouver.
Během crackingu webových prohlížečů jako první podlehl Google Chrome na operační platformě Windows 7. Ten neodolal bezpečnostnímu týmu Vupen. V případě všech použitých prohlížečů se jednalo o poslední známé release. Po zneužití chyby bylo možné obejít ochrany DEP a ASLR.
Paralelně s konferencí nyní probíhá také hackerská soutěž Pwnium, kterou organizuje přímo Google, ten se dříve aktivně podílel také na Pwn2Own a to zejména formou jejího sponzoringu, letos ale prohlásil, že nesouhlasí s podmínkami soutěže a veřejně se od ní distancoval.
Letos došlo v soutěži Pwn2Own k několika výrazným změnám, zrušena byla kategorie hackování mobilních zařízení a cílem zájemců jsou tak pouze Microsoft Internet Explorer, Apple Safari, Google Chrome a Mozilla Firefox na Windows a Mac OS; tak soutěž ostatně začínala. Hlavní cena (od HP TippingPoint, jež spravuje databázi zero day zranitelností) je zvýšena až na 60 000 dolarů.
Bodování úspěšnosti je změněno a kompromitované systémy nebudou vyřazovány ze soutěže, takže body za ně budou moci získat i další účastníci. Navíc jeden účastník může získat i více bodů za různé exploity jediného prohlížeče. V konečném důsledku to znamená, že celkově vyplacená částka může výrazně stoupnout.
Jedna část útoků je vedena proti prohlížečům na systémech Windows XP a Snow Leopard. Jediným úkolem je obejít DEP, pro úspěch není třeba pokořit sandbox/chráněný režim. Druhá část soutěže využívá plně záplatované Windows 7 a Mac OS X Lion. Zde bude pro úspěch třeba demonstrovat nějakou zranitelnost zero day.
Pikantní je, že minulé ročníky soutěže prokázaly především vysokou úroveň zabezpečení Google Chrome, který se zatím nikdy nepodařilo kompletně prolomit.
.jpg?resize=120%2C86&ssl=1)
