Pwn2Own - IE8 i iPhone padną pierwszego dnia?

W przyszłym tygodniu odbędzie się kolejna edycja słynnego konkursu hakerskiego Pwn2Own. Zdaniem jednego z organizatorów imprezy, w pierwszej kolejności uczestnicy zdołają sforsować zabezpieczenia smartphone'a firmy Apple oraz najnowszej wersji Internet Explorera.

Prognoza Aarona Portnoya - specjalisty ds. bezpieczeństwa z firmy 3Com TippingPoint (która jest jednym z organizatorów i sponsorów konkursu) jest o tyle zaskakująca, że podczas kilku poprzednich edycji pierwszą "pokonaną" przeglądarką był zwykle program Safari Apple'a (rok i dwa lata temu włamanie się przez tę przeglądarkę do Mac OS X zajęło hakerowi Charlie'mu Millerowi zaledwie kilka minut).

Portnoy uważa, że tym razem pierwszą przeglądarką, do której ktoś zdoła się włamać, będzie Internet Explorer 8 Microsoftu. Specjalista dodał też, że iPhone będzie jedynym urządzeniem mobilnym, którego zabezpieczenia zostaną sforsowane podczas tegorocznej edycji Pwn2Own. Tak w każdym razie wynika z rozmów z osobami, które oficjalnie zgłosiły się do udziału w konkursie (rozpoczynającym się 24 marca w Vancouver, podczas konferencji CanSecWest). Dodajmy, że te prognozy są nieco odmienne od wcześniejszych przewidywań Aarona Portnoya - jeszcze niedawno mówił on, że jako pierwsza "padnie" przeglądarka Safari, zaś od odpowiedzi na pytania o to, do którego smartfona ktoś zdoła się włamać, zdecydowanie się uchylał.

100 000 USD do wygrania

Łączna pula nagród w Pwn2Own 2010 to 100 tys. USD. Konkurs będzie przebiegał dwutorowo - uczestnicy będą próbowali sforsować zabezpieczenia popularnych przeglądarek internetowych oraz systemów instalowanych w urządzeniach mobilnych. Jeśli chodzi o przeglądarki, to celem będą aplikacje Chrome, Firefox, Internet Explorer oraz Safari (zainstalowane w Windows 7 lub Mac OS X). W drugiej części uczestnicy będą mieli do wyboru Apple iPhone 3GS, Blackberry Bold 9700, Nokię z systemem Symbian S60 (modelu na razie nie podano) oraz Motorolę z systemem Android (najprawdopodobniej będzie to model Droid).

"Dowiedziałem się, że jeden ze współpracujących z naszym projektem ZDI specjalistów ostrzy sobie zęby na Internet Explorera 8 - zamierza on zaatakować tę przeglądarkę już pierwszego dnia. Wygląda na to, że zobaczymy bardzo interesującego - z technicznego punktu widzenia - exploita" - zapowiada Portnoy.

ZDI to skrót od Zero Day Initiative - prowadzonego przez TippingPoint programu wypłacania nagród pieniężnych za dostarczenie informacji o poważnych, nieznanych wcześniej lukach w oprogramowaniu. Warto dodać, że programem tym są automatycznie objęte wszystkie luki ujawnione w ramach Pwn2Own (przedstawiciele TippingPoint przekazują później szczegółowe informacje o błędach producentowi danej aplikacji czy systemu).

Włamanie do IE8 nie będzie proste

We wpisie opublikowanym w blogu TippingPoint Aaron Portnoy tłumaczy, że skuteczne włamanie do IE8 w Windows 7 będzie niezwykłym wyczynem - haker będzie bowiem musiał obejść dwie domyślnie włączone technologie zabezpieczające - DEP (Data Execution Prevention) oraz ASLR (Address Space Layout Randomization). Fakt, iż ów atak jest zapowiedziany na pierwszy dzień, świadczy o tym, że luka występuje w kodzie IE - ponieważ pierwszego dnia można atakować wyłącznie "gołe" - tzn. pozbawione wszelkich pluginów i wtyczek aplikacje (możliwość wykorzystania luk w popularnych dodatkach - np. wtyczce Flash - pojawi się dopiero drugiego dnia).

"Udostępniono mi pewne informacje na temat metody ataku, którą zamierza wykorzystać ów haker - i nie mam wątpliwości, że będzie on w stanie bez problemu obejść DEP i ASLR" - mówi Portnoy. Jego zdaniem ofiarą nr 2 będzie Safari (specjalista już wcześniej stwierdził, że to nieuchronne, ponieważ "zabezpieczenia w Mac OS X 10.6 - vel Snow Leopard - są znacznie gorsze niż w Windows 7"), zaś jedyną przeglądarką, do której nikt nie zdoła się włamać, będzie Google Chrome. Portnoy tłumaczy, że jest to obecnie najlepiej zabezpieczona przeglądarka internetowa - głównie za sprawą umiejętnego zastosowania w niej tzw. sandboksingu.

iPhone jedynym pokonanym smartphone'em?

Opierając się na informacjach od uczestników Aaron Portnoy stwierdził też, że iPhone 3GS firmy Apple będzie jedynym smartphone'em, do którego ktoś zdoła się włamać i że najprawdopodobniej nastąpi to już pierwszego dnia konkursu. BlackBerry, Nokia i urządzenie z Androidem najprawdopodobniej wyjdą z rywalizacji bez szwanku.

Dodajmy, że wspomniany już dwukrotny tryumfator Pwn2Own - Charlie Miller - weźmie udział również w tegorocznej edycji imprezy. I znów zamierza włamywać się do przeglądarki Safari. Apple co prawda usunął z niej przed tygodniem aż 16 błędów, ale Miller twierdzi, że kilka luk wciąż pozostało w programie i za ich pośrednictwem będzie w stanie sforsować zabezpieczenia aplikacji.