markasblog

Bezpieczeństwo naszych smartphonów spada w zastraszającym tempie. Kaspersky Lab opublikowało wyniki ostatnich badań, z których wynika, że liczba zagrożeń skierowanych w stronę urządzeń mobilnych wzrosła o 600% w latach 2010 i 2011. Najpopularniejszym typem ataku jest drive-by download, który polega na rozpowszechnianiu złośliwego oprogramowania za pośrednictwem sieci. Na tak szybki wzrost ataków na urządzenia mobilne mają wpływ przede wszystkim niejasne zasady działania aplikacji w danym środowisku. Wiele aplikacji jest instalowanych na urządzeniach bez wiedzy użytkownika. Również rozwój urządzeń, wzrost ich wydajności przyczynia się do często niepostrzeżonej instalacji złośliwego oprogramowania.

Same ataki drive-by download na urządzenia mobilne różnią się od swych odpowiedników z platformy PC. W tradycyjnych komputerach do przeprowadzenia ataku wykorzystuje się luki w zabezpieczeniach przeglądarek internetowych lub wtyczkach do tych przeglądarek. Za pośrednictwem tych luk na atakowany komputer pobierane jest złośliwe oprogramowanie, które na przykład podszywa się pod oprogramowanie antywirusowe. Na urządzeniach mobilnych z kolei luki w zabezpieczeniach przeglądarek internetowych są wykorzystane do wykonania poleceń lub przesłania pakietów, które modyfikują działanie systemu zarządzającego naszym smartphonem.

Uchronienie się przed tego typu atakami jest bardzo trudne. O ile w smartphonach pracujących w ramach korporacyjnych sieci, administratorzy systemów są w stanie zmienić ustawienia urządzeń tak, aby użytkownicy nie mieli praw do instalowania na nich oprogramowania, tak urządzenia w rękach osób prywatnych narażone są na ogromne niebezpieczeństwo. Nie chodzi tutaj tylko i wyłącznie o dane z książki telefonicznej lub zdjęcia zgromadzone na urządzeniu. Gro osób korzysta z mobilnej bankowości internetowej, która zmusza użytkowników do podawania danych dostępowych do kont bankowych. Dane te są bardzo łatwe do przechwycenia przez złośliwe oprogramowanie.

Czy jesteśmy w stanie uchronić się przed niebezpieczeństwami związanymi z korzystaniem z dobrodziejstw teraźniejszych urządzeń mobilnych? Czy osoby, które swoje smartphony traktują jak przenośne biuro są w stanie zrezygnować z możliwości bycia online ze wszystkimi ważnymi sprawami? Zdecydowanie jest to niemożliwe.

Moim zdaniem za bezpieczeństwo systemów mobilnych na tym etapie rozwoju odpowiadają twórcy tych systemów. Powinna zostać wyeliminowana niejawność operacji, które są wykonywane na urządzeniach w tle. Telefony z systemem Android, aby wykorzystać ich pełną funkcjonalność narzucają użytkownikowi konieczność godzenia się na przesyłanie danych w tle. Google oczywiście zapewnia, że ten proceder jest całkowicie bezpieczny, ale moim zdaniem nic nie jest bezpieczne, co dzieje się poza wiedzą użytkownika urządzenia.

Marzec, drugi wtorek miesiąca już za nami, więc pewnie już zaktualizowaliście swoje systemy o marcowe biuletyny zabezpieczeń od Microsoftu. W tym miesiącu biuletynów jest 6, z czego jeden został oznaczony jako krytyczny, 5 jako ważne, a jeden jako umiarkowany. Wszystkie biuletyny usuwają w sumie 7 luk w zabezpieczeniach systemów Windows. Poniżej skrócony opis każdego z biuletynów

MS12-020 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach pulpitu zdalnego umożliwiających zdalne wykonanie kodu dzięki specjalnie spreparowanym pakietom RDP (Remote Desktop Protocol)

MS12-017 (ważny) – dotyczy luki w zabezpieczeniach serwera DNS umożliwiającej przeprowadzenie ataku DoS z użyciem odpowiednio spreparowanej kwerendy DNS

MS12-018 (ważny) – dotyczy luki w zabezpieczeniach sterowników trybu jądra systemu Windows umożliwiającej podniesienie uprawnień dzięki specjalnie spreparowanej aplikacji (osoba atakująca musi być w stanie zalogować lokalnie na atakowanej maszynie)

MS12-021 (ważny) – dotyczy luki w zabezpieczeniach programu Visual Studio umożliwiającej podniesienie uprawnień dzięki specjalnie przygotowanemu dodatkowi (osoba atakująca musi być w stanie zalogować lokalnie na atakowanej maszynie)

MS12-022 (ważny) – dotyczy luki w zabezpieczeniach programu Expression Design umożliwiającej zdalne wykonanie kodu dzięki odpowiednio spreparowanemu plikowi, który z kolei mógłby próbować załadować bibliotekę DLL, w której może znajdować się odpowiednio spreparowany kod.

MS12-019 (umiarkowany) – dotyczy luki w zabezpieczeniach programu DirectWrite umożliwiającej przeprowadzenie ataku typu DoS dzięki specjalnie spreparowanej wiadomości błyskawicznej, w której znajdzie się odpowiednia sekwencja znaków Unicode.

Po więcej szczegółów odsyłam do źródła.

Naukowcy z Websense Security Labs opublikowali w poniedziałek informację o wykryciu zmasowanej akcji cyberprzestępców, której celem są strony internetowe oparte na platformie WordPress. Atak polegał na wstrzykiwaniu do kodu strony przekierowania, które automatycznie przenosiło odwiedzającego witrynę do strony, która oszukuje użytkowników i namawia do zainstalowania złośliwego oprogramowania, które rzekomo jest programem antywirusowym. Ilość unikatowych adresów zainfekowanych złośliwym kodem jest szacowana na około 30 000, co daje 200 000 zainfekowanych stron.

Cały proces wygląda następująco. W pierwszej kolejności użytkownik jest przekierowany na stroję fałszywego antywirusa, który markuje skanowanie dysków lokalnych. W rzeczywistości jest to jedynie okno pop-up upodobnione do tych, które znamy z Windowsa. Użytkownik jest informowany o wykryciu na dysku jego komputera złośliwego oprogramowania co oczywiście jest nieprawdą. Fałszywy antywirus monituje następnie do pobierania i uruchamiania swojego narzędzia, które ma za zadanie usunąć rzekomo znalezione trojany, a w rzeczywistości sam plik wykonywalny jest trojanem.

Na uwagę zasługuje fakt, że 85% zainfekowanych stron jest hostowanych w Stanach Zjednoczonych, ale już sami odwiedzający te witryny są bardziej rozproszeni po świecie. 50% odwiedzających pochodzi faktycznie ze Stanów Zjednoczonych, na kolejnym miejscu jest Kanada z 11% odwiedzających, dalej Brazylia oraz Turcja. Więcej danych procentowych można znaleźć na blogu Websense Security.

Ataki cyberprzestępców z wykorzystaniem fałszywego oprogramowania antywirusowego nie są niczym nowym. Wciąż popularne, a co gorsza bardzo skuteczne są ataki typu drive-by, które wykorzystują przestarzałe i nieaktualizowane przeglądarki internetowe oraz wtyczki do nich tworzone.

Z opinii specjalistów od bezpieczeństwa z firmy Websense Security Labs łatwo można wywnioskować, że do aktualnych ataków na WordPressa przyłożyli rękę sami użytkownicy tej platformy. Przestarzałe wersje WordPressa oraz zainstalowanych wtyczek, słabe hasła administracyjne, które bez problemu można złamać przyczyniły się do tak szybkiego wzrostu liczby zainfekowanych systemów. Sami cyberprzestępcy nie próżnują i nie idą na łatwiznę. Na wielu blogach naukowcy natrafili na wtyczkę o nazwie ToolsPack, która w rzeczywistości oprócz funkcjonalności, z których mogli się cieszyć administratorzy systemów, zawierał również lukę, dzięki której hakerzy mogli bez problemu przejąć kontrolę nad plikami na serwerze.

Ja sam apeluję do właścicieli wszelkich systemów zarządzania treścią. Platformy WordPress, Drupal czy Joomla są jak nasze systemy operacyjne. Jeżeli zapomnimy o ich ciągłej aktualizacji, przyczynimy się do stwarzania niebezpieczeństwa dla odwiedzających nasze strony użytkowników. Zachęcam do częstego zaglądania do paneli administracyjnych i sprawdzania dostępnych aktualizacji. Bezpieczeństwo w Internecie zależy również od nas.

Adobe w dniu wczorajszym opublikował informację o wydaniu łaty bezpieczeństwa dla Flasha. Jest to druga akcja łatania Flasha w tym roku, a od pierwszej akcji minęło niespełna 3 tygodnie. Najnowsze poprawki bezpieczeństwa eliminują 2 luki w zabezpieczeniach, z których każda może potencjalnie umożliwić przejęcie kontroli nad systemem. Jeden z błędów wykorzystywał klasę Matrix3D należącą do ActionScript i mógł doprowadzić do wykonania dowolnego kodu lub wycieku pamięci. Drugi błąd, w niektórych wersjach Flasha dotyczył niepopranej obsługi liczb całkowitych i mógł zostać użyty do przechwycenia poufnych informacji. Według Adobe błędy, które zostały wyeliminowane przez najnowszą poprawkę nie były jeszcze wykorzystywane przez napastników i dlatego też priorytet ważności tej aktualizacji został określony na 2 w trzystopniowej skali.

Skala ważności poprawek jest stosunkowo młodym tworem w Adobe. Pomaga ona określić ważność danej poprawki. I tak:

• Priorytet 1 to poprawki bezpieczeństwa o najwyższej ważności, które powinny być instalowane przez domowych użytkowników niezwłocznie po publikacji i w przeciągu 72 godzin po publikacji przez przedsiębiorstwa
• Priorytet 2 to poprawki bezpieczeństwa o średniej ważności, które powinny być instalowane najpóźniej 30 dni po publikacji aktualizacji; dotyczą luk w zabezpieczeniach, które są potencjalnie niebezpieczne.
• Priorytet 3 to poprawki bezpieczeństwa o najniższej ważności, które można, ale nie trzeba instalować, ponieważ dotyczą luk w zabezpieczeniach, które nigdy wcześniej nie zostały wykorzystane do ataku.

Przedstawiciele Adobe przyznają, że nowy system oznaczania ważności poprawek bezpieczeństwa jest wzorowany na tym Microsoftu. Ma to na celu wprowadzenie większej systematyczności w wydania aktualizacji. Nie wyklucza się także, że poprawki dla produktów Adobe będą wydawane cyklicznie na wzór biuletynów Microsoftu.

Zaktualizowaną wersję Flash Playera dla systemów Windows, Linuks, Mac oraz Solaris można pobrać tutaj. Wersję dla Androida można pobrać z Android Market.

Najnowsza wersja przeglądarki Google Chrome ma już zaimplementowaną najnowszą wersję produktu Adobe.

Google ogłosiło na swoim blogu, bezpośrednio związanym z przeglądarką Chrome, że zwiększa pulę nagród do 1 miliona dolarów, dla zwycięzców konkursu Pwn2Own, który odbędzie się już w przyszłym tygodniu w ramach konferencji CanSecWest. Pierwsza informacja zakładała nagrody dla trzech pierwszych zawodników, w wysokości odpowiednio po 60 000$, 40 000$ oraz 20 000$. Google uznało, że te nagrody nie wystarczą, aby odpowiednio zmotywować do pracy hakerów biorących udział w konkursie i postanowiło wypłacić po kilka nagród dla każdej z kategorii. Wyselekcjonowano 3 kategorie:

• exploit wykorzystujący do przejęcia kontroli nad kontem użytkownika tylko i wyłącznie błędy w przeglądarce Chrome
• exploit wykorzystujący do przejęcia kontroli nad kontem użytkownika błędy występujące w przeglądarce Chrome oraz inne błędy w systemie (np. błąd w zabezpieczeniach silnika Webkit)
• exploit nie wykorzystujący błędów w zabezpieczeniach przeglądarki Chrome, ale inne błędy w systemie Windows (np. błąd w zabezpieczeniach paltformy Flash)

Pula nagród będzie dzielona na zasadzie „kto pierwszy, ten lepszy” co jeszcze bardziej zmobilizuje hakerów do wytężonej pracy.

Jako powód takiej decyzji Google podaje fakt, że w tym roku według zmienionych zasad konkursu, zawodnicy nie muszą ujawniać błędów w zabezpieczeniach, wykorzystanych do przeprowadzenia skutecznego ataku. Według specjalistów od zabezpieczeń przeglądarki Google Chrome, takie podejście organizatorów jest niepokojące i dlatego gigant z Mountain View zdecydował, że zamiast sponsorowania całego konkursu, ufunduje jedynie nagrody dla zawodników, którzy podejmą się złamania zabezpieczeń ich przeglądarki.

Podejście organizatorów konkursu pwn2own dziwi mnie. Z jednej strony szumnie zapowiedziane zmiany w regulaminie, mające na celu zwiększenie liczby ujawnionych błędów w zabezpieczeniach przeglądarek internetowych oraz systemów operacyjnych, a  z drugiej strony możliwość nie ujawnienia sposobu przeprowadzenia ataku. W takiej sytuacji Google rzuca hakerom przysłowiową marchewkę, ale wydaje mi się, że i tak ten milion dolarów nie zostanie rozdysponowany, ponieważ Chrome faktycznie jest na szpicy, jeżeli chodzi o bezpieczeństwo.

W piątek spółka Lenovo poinformowała o zaprzestaniu sprzedaży netbooków za pośrednictwem swojego sklepu internetowego. Losy sprzedaży detalicznej netbooków w sieciach partnerskich również nie są jasne. Jak podaje rzecznik prasowy firmy, netbooki zostają wyparte z rynku przez tablety oraz tanie laptopy, które parametrami i ceną praktycznie zrównały się z netbookami. Przełom rozpoczął się w kwietniu 2010 roku, kiedy na rynku pojawił się IPad od Apple i od tego czasu zainteresowanie netbookami systematycznie spadało, aż do momentu, gdy w zeszłym roku Lenovo odnotowało spadek sprzedaży netbooków o 43%. Sam Intel, który swego czasy wydał dedykowane netbookom układy Atom zauważa, że ultraprzenośne komputery wypierane są z rynków dojrzałych, ale wciąż są popularne w gospodarkach wschodzących.

Lenovo nie jest jedynym producentem sprzętu komputerowego, który odnotowuje spadek sprzedaży netbooków. Również Dell wycofał praktycznie całą swoją ofertę ze sprzedaży a Hewlett-Packard oraz Acer zawęziły swoje oferty.

Netbooki… Hmm… Zacząłem zastanawiać się, po co to komu, gdy moja luba sobie takowy sprawiła. Niby miał to być sprzęt głownie do przeglądania internetu, ale jak dla mnie i do tego nie nadawał się zbytnio. Mały ekran, mała klawiatura. Jak dla mnie netbooki miały tylko i wyłącznie poprawić obroty producentom. Lenowo, HP, Acer i inni wprowadzili na rynek twór, który miał załatać dziurę na półkach sklepowych do czasu wypuszczenia na rynek tabletów. Dopiero tablety zaczęły spełniać bardzo dobrze funkcję, do której zostały stworzone. Osobiście od zawsze wolałem swojego wysłużonego laptopa, który pomimo, że na baterii popracował może 1,5 godziny w czasach swojej świetności to był dla mnie zwyczajnie wygodniejszy. Ekran 15 cali, normalna duża i wygodna klawiatura nie została i nie zostanie zastąpiona przez netbooka, ani nawet przez tableta.

16 lutego na łamach Science Translational Medicine opublikowano informację o pierwszej udanej próbie zbudowania układu, który po implantacji w ciele człowieka, jest wstanie dostarczyć zdalnie odpowiednią ilość leku w zależności od potrzeb. Profesorowie MIT, Robert Langer oraz Michael Cima rozpoczeli pracę nad tym rozwiązaniem 15 lat temu. W pracach uczestniczyli również naukowcy z MicroCHIPS Inc.

W ostatnim cyklu badań, które finansowała i nadzorowała wspomniana już wcześniej firma MicroCHIPS Inc., naukowcy wykorzystali programowalne implanty do podania leku na osteoporozę. W badaniu uczestniczyło 7 kobiet w wieku od 65 do 70 lat. Badanie polegało na dostarczeniu dawek leku, które wielkością były zbliżone do tradycyjnych zastrzyków, a w jego przebiegu nie wskazano żadnych skutków ubocznych. Chipy były wszczepione w ciało pacjenta w gabinecie lekarskim przy znieczuleniu miejscowym i pozostały w organizmach pacjentów przez 4 miesiące.

Badania poczynione przez naukowców wskazały, że efekt podawania leków przez mikroukład wszczepiony w ciało pacjenta, był podobny do tego, jaki się uzyskuje przy standardowych zastrzykach z leku o nazwie teryparatyd, ze wskazaniem na mikroukład, ponieważ dawki leku przez niego podawane odznaczały się znacznie mniejszym wahaniami.

Dodatkowym atutem takiego rozwiązania  jest fakt, że układy te są w pełni programowalne, więc można w pamięci microchipa zapisać harmonogram podawania leku, przez co pacjent nie będzie już musiał pamiętać o lekarstwach, od których często zależy jego życie. Ponadto nowatorskie układy mogą wyzwalać odpowiednią dawkę leku za pośrednictwem drogi radiowej, z wykorzystaniem specjalnej częstotliwości o nazwie MICS (z ang. Medical Implant Communication Service). Aktualnie MISC działa jedynie na odległość kilku centymetrów, ale naukowcy pracują nad zwiększeniem tego zakresu.

Dalszym etapem prac nad rewolucyjną technologią, ma być opracowanie układu, który przechowuje setki dawek leku, ponieważ w tej chwili microchip przenosi jedynie 20 dawek teryparatydu. W dalszych planach jest połączenie układu z czujnikiem glukozy. W przyszłości może powstać układ czujników oraz microchipów, który same mogą same zadecydować o odpowiednim leczeniu farmakologicznym, w zależności od stanu zdrowia pacjenta.

Już teraz spora część środowiska mówi o ogromnej rewolucji, jaka może przyjść, gdy układ stworzony przez naukowców MIT upowszechni się.

Osobiście uważam, że wszczepianie w organizm takich układów na wszelki wypadek, tak aby on sam decydował co mi jest i jakie leki są mi potrzebne nie jest dobrym rozwiązaniem, ale w przypadku chorób przewlekłych, które wymagają ciągłej kuracji lekami, to rozwiązanie może okazać się zbawienne dla samych pacjentów. O ile ich życie może być łatwiejsze, gdy nie będą musieli pamiętać o dawkowaniu lekarstw, ponieważ zrobi za nich to mikroukład wszczepiony pod skórą.

Miesiące w tym roku upływają w zastraszającym tempie. Niedawno mieliśmy styczniowe biuletyny bezpieczeństwa, teraz przyszedł czas na lutową edycję łat bezpieczeństwa do Microsoftu. Dwa dni temu ujrzało światło dzienne 9 łat dla produktów Microsoftu, które łatają 21 błędów. 4 z tych biuletynów otrzymały najwyższy – krytyczny – stopień ważności, a pozostałe 5, oznaczono jako ważne.

MS12-008 (krytyczny) – dotyczy luki w zabezpieczeniach sterowników jądra systemu Windows umożliwiającej zdalne wykonanie kodu

MS12-010 (krytyczny) – zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer, która między innymi eliminuje możliwość zdalnego wykonania kodu

MS12-013 (krytyczny) – dotyczy luki w zabezpieczeniach biblioteki wykonawczej dla języka C umożliwiającej zdalne wykonanie kodu

MS12-016 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework i programu Microsoft Silverlight umożliwiającej zdalne wykonanie kodu

MS12-011 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft SharePoint umożliwiającej podniesienie poziomu uprawnień

MS12-012 (ważny) – dotyczy luki w zabezpieczeniach apletu Panel sterowania kolorami umożliwiającej zdalne wykonanie kodu

MS12-014 (ważny) – dotyczy luki w zabezpieczeniach kodera-dekodera Indeo umożliwiającej zdalne wykonanie kodu

MS12-015 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft Visio Viewer 2010 umożliwiającej zdalne wykonanie kodu

Aktualizacja jest wysoce zalecana.

Adobe udostępnił w kanale beta wersję platformy Flash z zaimplementowanym mechanizmem sandbox dla przeglądarki Firefox. To kolejny krok w drodze do pełnej izolacji procesów oprogramowania Adobe od produktów, które korzystają z tej technologii oraz spełnienie obietnicy danej użytkownikom przy okazji wydania stabilnego Flasha z sanboxem dla przeglądarki Google Chrome, które miało miejsce rok temu. Dla przypomnienia, mechanizm sandbox działa w oparciu o bardzo niską integralność z głównym programem, a sam proces ma bardzo mocno ograniczone uprawnienia do reszty systemu. Izolacja procesu od systemu operacyjnego skutkuje zminimalizowaniem szansy na skuteczny atak za pomocą exploita. Dowodem na skuteczność mechanizmu „piaskownicy” jest fakt, iż przeglądarka Google Chrome nigdy nie stała się ofiarą udanego ataku z wykorzystaniem oprogramowania Flash.

Do tej pory Adobe zaimplementowało mechanizm sandbox w oprogramowaniu Adobe Reader X, oraz platformie Flash dla przeglądarki Google Chrome. Wersja beta przeznaczona dla Firefoksa działa na systemach operacyjnych Windows Vista oraz Windows 7.

Przedstawiciele firmy Adobe zdają sobie sprawę, że droga jaką mają przed sobą nie kończy się na dwóch przeglądarkach. Docelowo w planach jest wydanie Flasha z sandboxem na wszystkie popularne przeglądarki. Dzięki temu producenci Adoba liczą na zmniejszenie zainteresowania hakerów swoimi produktami. W tym momencie już trwają pracę nad sandboxem dla Internet Explorera, ale ze względu na zupełnie inną architekturę oprogramowania związana z wykorzystaniem ActiveX, proces wydłuża się w czasie.

Wersja finalna Flasha z sandboxem dla przeglądarki Firefox powinna pojawić się jeszcze w tym roku.

Pwn2Own 2012 zapasem. Tradycyjnie turniej hakerów odbędzie się w ramach konferencji poświęconej bezpieczeństwu sieci komputerowych w Vancouver o nazwie CanSecWest. Tym razem zawody będą rozgrywane na przestrzeni trzech dni, między 7 i 9 marca. Ten rok będzie przełomowy, jeżeli chodzi o zasady przeprowadzania konkursu. O ile w latach poprzednich Pwn2Own był zorganizowany tak, aby wzbudzał sensację wśród obserwujących (konkurs był nastawiony na szybkość łamania zabezpieczeń i zdolność wykorzystywania znanych luk bezpieczeństwa), tak teraz zawodnicy będą oceniani za pomocą skali punktowej, co spowoduje, że faktycznie zawodnicy będą zmuszeni do rywalizacji. Wycofano zasadę ograniczająca ilość luk 0-day wykorzystanych do skutecznego ataku do jednej. Według nowych zasad ilość luk znalezionych i wykorzystanych będzie dowolna i za każdą lukę znalezioną w przeglądarce, zawodnik otrzyma punkty. Celem organizatorów jest przede wszystkim wykazanie maksymalne dużej liczby uchybień w temacie zabezpieczeń, a także zwrócenie uwagi producentów na konieczność starannego przygotowania łat dla swoich produktów, ponieważ w tym momencie często jest tak, że pomimo wydania łaty bezpieczeństwa, podatność na ataki danego produktu wcale się nie zmniejsza. Nowe zasady mają za zadanie dać równe szanse wszystkim startującym w konkursie. Nie będzie losowania kolejności podejścia do konkretnego zadania. Zawodnicy będą zmuszeni opracować exploity wykorzystujące luki w zabezpieczeniach w czasie trwania rywalizacji. Dzięki temu konkurs będzie trzymał w napięciu od początku do końca.

Dodatkowo atmosferę podgrzewa Google, które oferuje 20 000 dolarów za każdą lukę wskazaną i wykorzystaną do skutecznego ataku w przeglądarce Google Chrome. Stawka więc wyraźnie rośnie, ponieważ przy założeniu, że limit luk znalezionych w przeglądarkach został zdjęty, można dorobić się pokaźnego bonusu od samego wydawcy Chrome. Oczywiście gigant z Mountain View jest pewny swego i zakłada, że ich mechanizm sandbox jest na tyle skuteczny, że raczej przeglądarka obroni się przed atakami. Pytanie tylko, co się stanie jeżeli haker skorzysta z dwóch exploitów, z których pierwszy złamie zabezpieczenia sandboxa, a drugi uderzy już bezpośrednio w jądro przeglądarki?

Należy pamiętać oczywiście, że podczas dotychczasowych konkursów PWN2OWN, Google Chrome ani razu nie poddał się atakom hakerów. Może jednak było to spowodowane ograniczeniami wynikającymi z regulaminu. Teraz hakerzy mają więcej wolności i mogą puścić wodze fantazji.

Oczywiście oprócz nagrody ufundowanej przez Google, również organizator, którym jest TippingPoint ze swojej strony ufundował nagrody pieniężne dla trzech pierwszych miejsc.

Podstawowe zasady:

Przeglądarki będące celem ataków:

• Microsoft Internet Explorer
• Apple Safari
• Google Chrome
• Mozilla Firefox

Systemy operacyjne:

• Windows 7
• Mac OS X Lion

Oba systemy wyposażone będą w najnowsze łaty bezpieczeństwa.

Punktowanie:

• Każdy zawodnik (lub zespół) który opublikuje działający exploit wykorzystujący lukę 0-day w przeglądarce otrzymuje 32 punkty
• podczas rozpoczęcia konkursu zostaną ogłoszone 2 luki załatane w ostatnich latach , które należy wykorzystać do ataku; pierwszy zawodnik, który stworzy exploit wykorzystujący te luki otrzyma 10, 9 lub 8 punktów w zależności od dnia demostracji
• żaden zespół ani indywidualny zawodnik nie wygra jeżeli nie wykaże chociaż jednej luki 0-day w zabezpieczeniach
• o zaliczeniu punktów za zadanie będzie decydować grupa sędziów, którzy sprawdzą, czy dana luka nie jest wykorzystywana jednocześnie przez kilka zespołów

Nagrody:

• I miejsce: 60 000$
• II miejsce: 30 000$
• III miejsce 15 000$

Zdecydowanie nowa konwencja konkursu PWN2OWN jest ciekawsza nie tylko ze względu na postawienie na większą konkurencję biorących w nim udział hakerów, ale również ze względu na możliwość wykrycia nowych podatności na ataki produktów czołowych firm. Internet Explorer, Safari oraz Firefox co roku poddawały się naporom atakujących . Jedynie Google Chrome opierał się atakom, głownie dzięki mechanizmowi sandbox. Uważam, że teraz może się to zmienić. Nie tylko podbicie stawki przez Google za złamanie ich zabezpieczeń, ale przede wszystkim większa dowolność w podejściu do tematu, może obalić mit bezpiecznego Chrome.

Czekam z niecierpliwością na tegoroczny konkurs. Może będzie mniej spektakularny patrząc od strony mediów, ale według mnie, wniesie więcej w poprawę bezpieczeństwa przeglądarek internetowych, a co za tym idzie, naszych komputerów i danych na nich zgromadzonych.