Завершившийся вчера первый день хакерских состязаний Pwn2Own, который проводится в рамках конференции CanSecWest, как и в прошлом году, принёс участникам массу призов. Были повержены браузеры Internet Explorer (IE), Firefox и Safari, а также эппловский мобильник iPhone 3GS, сообщает CNET News.
Третий год кряду отличился Чарли Миллер (Charlie Miller), который вновь сконцентрировался на Safari — на этот раз 4-й версии, работающей, к тому же, в Mac OS X Snow Leopard. После того как пользователь целевого компьютера посетил созданную Миллером веб-страничку с "сюрпризом", успешно сработал эксплойт типа шелл-код. Таким образом, Миллер мог запустить любую команду на взломанном "макбуке" при помощи консоли.
По его словам, эксплойт был написан им меньше чем за неделю. Всего же, напомним, у Миллера в запасе было с два десятка уязвимостей "нулевого дня" для различных продуктов Apple, которые он обнаружил при помощи собственной программы. Собственно, вся программа состоит из пяти строк Python-кода, о чём хакер собирается сегодня поведать участникам CanSecWest.
"Я собираюсь подробно рассказать, как именно я нашёл эти уязвимости, так что, надеюсь, Apple повторит то, что сделал я, и они найдут мои 20 "дыр", а то и гораздо больше, — сказал Миллер. — Надеюсь, они будут делать это и впредь и усовершенствуют свои механизмы поиска ошибок, а не будут просто латать "дырки" каждый раз, когда я сообщаю им о них по email".
Серьёзную работу проделал голландский исследователь Петер Фройгденхил (Peter Vreugdenhil), который нацелился на IE8, запущенный на машине, работающей под управлением Windows 7. Его атака состояла из чётырёх частей и использовала две уязвимости.
Голландец успешно обошёл защиту DEP и ASLR и сумел получить права пользователя на целевом компьютере. Впрочем, он воспользовался ими в мирных целях, запустив всего лишь "Калькулятор".
Ещё один прошлогодний победитель, молодой хакер, называющий себя Nils, уложил на обе лопатки Firefox. В качестве операционной системы вновь использовалась Windows 7, поэтому Нильсу также пришлось пробивать DEP и ASLR.
Нильс сумел вызвать повреждение памяти, используемой мозилловским браузером, и, как и Фройгденхил, запустил на целевой машине "Калькулятор". "Я мог запустить любой процесс", — заверил хакер после успешного взлома.
Если в прошлом году ни одному из участников не удалось справиться с мобильными телефонами, то на этот раз один из четырёх конкурсных смартфонов не устоял. Победу над "айфоном" записали на счёт Винченцо Иоццо (Vincenzo Iozzo) и Ральфа Филиппа Вайнмана (Ralf Philipp Weinmann). Правда, сам Иоццо на конкурс опоздал, поэтому его представлял коллега по работе Халвар Флейк (Halvar Flake).
"Вебпланета" уже как-то рассказывала об успехах Иоццо в разработке "прикрытия" для эксплойтов, предназначенных для взлома Mac OS X. На этот раз он с Вайнманом создал эксплойт, который утянул всю базу SMS-сообщений из iPhone при помощи вредоносного сайта.
Несмотря на то, что звучит это очень просто, осуществить атаку в действительности было довольно трудно. Главная проблема заключалась в том, что все iPhone-приложение имеют цифровую подпись Apple и не запускаются без неё. Данная мера предпринята вовсе не для безопасности — у Apple просто такая политика, — но весьма успешно срабатывает и как защита от вредоносов. Правда, как выяснилось, не всегда.
По правилам, за успешный взлом браузера при помощи неизвестной доселе уязвимости участник Pwn2Own в этом году получает 10 000 долларов и ноутбук. За смартфон — 15 000 и, собственно, смартфон. Всего призовой фонд составляет 40 и 60 тысяч за, соответственно, браузеры и мобильники.
Как видим, призовой фонд, выделенный на взлом браузеров, уже почти исчерпан. Непобеждённым остался только Chrome (правда, не сообщается, были ли осуществлены попытки атаки на этот браузер). У хакеров ещё будет возможность побороться за оставшиеся 10 тысяч сегодня и завтра, при этом Windows 7 сперва заменят на "Висту", а потом и на XP, постепенно, таким образом, упрощая атакующим задачу.
Компания Google предложила всем участникам хакерских соревнований Pwn2Own попытаться взломать браузер Chrome.
В рамках данного мероприятия, хакеры будут соревноваться в попытках взломать такие браузеры, как Internet Explorer, Safari, FireFox. В случае успешного результата - в данном случае, если взлом будет произведен, каждый из участников получит по 15 тысяч долларов США от организаторов мероприятия.
Если кому-либо удастся взломать Google Chrome, то поисковый гигант предложит счастливчику дополнительные $20 000.(!!!)
Сообщений в теме: 4
#1
Отправлено 06 Февраль 2011 - 08:42
#2
Отправлено 07 Февраль 2011 - 19:36
Прикольно, интересная новость
Еще интересно, почему там небыло русских хакеров... Мне кажется, что они бы добились не меньше... Как минимум...
Еще интересно, почему там небыло русских хакеров... Мне кажется, что они бы добились не меньше... Как минимум...
Ты говоришь, исправь глюки. Да это все твои кривые руки. (с) PR-MIX - Письмо директору
Мы Вконтакте - http://vk.com/viateam
#4
Отправлено 08 Февраль 2011 - 00:57
да мне кажется нашим просто это не нужно))) у нас то хакеры поопасней, а зачем себя раскрывать?
#5
Отправлено 08 Февраль 2011 - 10:01
Milk & Vodka сказал:
да мне кажется нашим просто это не нужно))) у нас то хакеры поопасней, а зачем себя раскрывать?
p.s. это так, шутка
Ты говоришь, исправь глюки. Да это все твои кривые руки. (с) PR-MIX - Письмо директору
Мы Вконтакте - http://vk.com/viateam
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 анонимных