Pwn2own: браузери не встояли перед хакерами

Французька компанія безпеки Vupen - яку в минулому критикували за продаж експлойтів урядам - знесла захист IE10 на планшеті Surface Pro під управлінням Windows 8, і також поклала Firefox на Windows 7.

Відео: ЯК ПОТРАПИТИ В ЧОРНИЙ ІНТЕРНЕТ? ТОР браузер. Гайда

Найбільше зусиль зажадав перший злом. Для його здійснення потрібно використовувати пару окремих вразливостей ldquo-нульового дняrdquo- і обхід пісочниці. Але і приз за цей злом вражає - цілих $ 100000.

На відміну від минулого року, через зміну правил конкурсу, Vupen розкрила всю інформацію про те, як проводився злом, щоб можна було закрити уразливості.

У той же час Firefox став жертвою експлоїта нульового дня, який обійшов рандомізацію адресного простору (ASLR) браузера і захист запобігання виконання даних (DEP) в Windows. За другу атаку хакери отримали ще $ 60000.

Також в перший день під натиском пари хакерів з MWR Labs став жертвою Chrome 25. Хакери використовували вразливість у браузері, щоб виконати код, і вразливість в ядрі Windows для збільшення системних привілеїв по виконанню коду на машині. Це принесло їм $ 100000. Цікаво, але перед самим початком конкурсу Google закрив в своєму браузері 10 вразливостей.

Відео: Найбільш популярні браузери для пристроїв на базі Android

Лише один браузер зміг пережити цей конкурс без злому, але це зовсім мені говорить про його безпеки. Жоден з дослідників цього року не направив свою силу проти Safari під OS X. Хоча в минулих роках браузер від Apple ставав жертвою хакерів одним з перших. І в цьому році за злом Safari був обіцяний приз в $ 65000. Але чи то Safari більше не цікавий хакерам, то чи приз здався їм занадто маленьким - не ясно.

На другий день конкурсу Pwn2Own Джордж Хотз (George Hotz) заробив $ 70000 за злом Adobe Reader, компанія Vupen зламала Flash і заробила ще $ 70000, і тричі різними компаніями був зламаний Java, що принесло по $ 20000 за кожен злом.

До кінця конкурсу було роздано як мінімум $ 420000 з призового фонду в $ 560000, що є майже повною перемогою хакерів.

До слова, з 6 по 8 березня на конференції безпеки CanSec West компанія Google провела свій третій хакерський конкурс Pwnium. Цього року Pwnium 3 був орієнтований не на браузер від Google, а на операційну систему Chrome OS. Пошуковий гігант пообіцяв нагород на суму понад $ 3 мільйонів.

Відео: Новий браузер Opera Neon

Нагороди можна було отримати за два різних рівня злому: $ 110000 за злом браузера або системи в гостьовому режимі або в режимі увійшов користувача, здійснений за допомогою веб-сторінки, і $ 150000 за злом на основі вразливостей самого пристрою.

Однак, за словами представника Google, перемогти на Pwnium 3 ніхто так і не зміг, хоча, можливо, частково це пов`язано з незавершеністю або ненадійністю експлойтів.