Konferencja CanSecWest 2009… Prawda o zabezpieczeniach przeglądarek internetowych
Tegoroczna konferencja z cyklu CanSecWest odbyła się w Sheraton Wall Centre w Vancouver w dniach 16 – 20 marca 2009. Jak zwykle tematem konferencji są zabezpieczenia systemów informatycznych. W jej ramach odbywają się wykłady i prezentacje prowadzone przez doświadczonych wykładowców pracujących w branży. Na CanSecWest może się dostać każdy kto dysponuje czasem i odpowiednią gotówką i oczywiście zgłosi zamiar uczestniczenia w spotkaniu odpowiednio wcześnie.
W tym roku, podobnie jak w latach wcześniejszych, w ramach konferencji CanSecWest odbył się konkurs PWN2OWN. Jest to konkurs dla hakerów podczas którego uczestnicy próbują złamać zabezpieczenia popularnych przeglądarek internetowych.
W tym roku uczestnicy mieli do dyspozycji następujące platformy i stowarzyszone z nimi przeglądarki internetowe:
Vaio – Windows 7
- IE8
- Firefox
- Chrome
Macintosh
- Safari
- Firefox
Zwycięzcą tegorocznego konkursu został Charlie Miller, który w ciągu kilku sekund złamał zabezpieczenia przeglądarki Safari zainstalowanej na w pełni załatanym systemie Mac Os X. Sama przeglądarka również była uzbrojona w najnowsze aktualizacje. Haker wypowiedział dość znamienne słowa, według mnie obalające mit jednego z najbezpieczniejszych systemów jakim miał być Mac Os X. Według Millera jest bardzo łatwo stworzyć exploit wykorzystujący luki systemu Mac, ponieważ system ten nie mam wbudowanych zabezpieczeń podobnych do tych z systemów spod znaku Microsoftu. Według niego właśnie taka sytuacja powoduje, że Safari jest na równi z Firefoxem, jeżeli chodzi o bezpieczeństwo (a raczej jego brak) przeglądarek pracujących pod systemem Mac OS X.
Drugi z uczestników, kryjący się pod nickiem Nils bez większego problemu – czym zadziwiony był sam Charlie Miller – złamał zabezpieczenia IE8 i Firefox, działających pod kontrolą systemu Windows 7. W tym przypadku zadanie było znacznie trudniejsze w opini Millera, między innymi dzięki wbudowanym zabezpieczeniom (np. DEP). System i przeglądarki były oczywiście uzbrojone w najnowsze aktualizacje. Całości konkursu przyglądali się przedstawiciele Microsoftu, którzy w krótkim czasie po ujawnieiu luki w IE8 zapowiedzieli wydanie stosownych poprawek. Mimo wszystko przedstawiciele niezależnej firmy potwierdzają fakt, iż IE8 znacznie lepiej radzi sobie z obronna przed malware niż Safari, Firefox, czy starsze wersje IE. Jest to dosyść optymistyczna wiadomość dla użytkowników IE w wersji IE8, a także sygnał do konieczności aktualizacji IE do najnowszej wersji.
Drugi dzień konkursu uczestnicy spędzili na łamaniu zabezpieczeń przeglądarek wyposażonych we wtyczki, przez co zadanie mogło się stać jeszcze łatwiejsze, ponieważ hakerzy mieli nie tylko do dyspozycji luki w samych przeglądarkach, ale i luki w samych wtyczkach.
Bardzo dobre zdanie Charlie Miller wyraził na temat bezpieczeństwa przeglądarki Google Chrome. Uważa, że pomimo wykrytych luk, bardzo trudno je wykorzystać dzięki wbudowanym mechanizmom zabezpieczeń (sandbox).
Wystarczy mieć nadzieję, że w efekcie takich konkursów zostaną ujawnione kolejne luki, które będą sprawnie łatane przez producentów oprogramowania.
A ja tradycyjnie namawiam do aktualizowania swoich systemów i oprogramowania pracującego pod ich kontrolą, bo jest to jedyna metoda na zachowanie przynajmniej minimum bezpieczeństwa naszym danym.
Informatyk z wykształcenia pracujący w Departamencie Logistyki. Pasjonat książek historycznych, niecierpiący próżności... Moje motto życiowe: "Aktywnie spędzać czas, tak aby nie żałować żadnej przeżytej chwili".
