Pwn2Own: wszystkie przeglądarki i systemy zostały pokonane

Oprogramowanie, z jakiego korzystamy, jest na tyle skomplikowane, że nie sposób uniknąć istnienia w nim problemów związanych z bezpieczeństwem, w tym nawet problemów poważnych. Nie dziwi więc zachowanie dużych firm, które za odnajdywanie dziur w ich oprogramowaniu wynagradzają – oczywiście informacje te nie mogą być wykorzystywane w złym celu, mają służyć poprawie aktualnej sytuacji. Nie dziwi też istnienie konkursu Pwn2Own. Co roku specjaliści startują w zawodach, w których „łamią” popularne przeglądarki i systemy operacyjne. Nie inaczej było w ostatnich dniach, w których odbyła się tegoroczna edycja tych zmagań. Niezbyt miłym faktem jest to, że żaden z atakowanych produktów nie zdołała się obronić, na rynku nie znajdziemy więc produktów idealnych.

Żadna z przeglądarek nie zapewnia bezpieczeństwa, Google Chrome wypadło jednak w konkursie najlepiej.

Konkurs Pwn2Own odbywa się od 2007 roku i skupia najlepsze „białe kapelusze”, które przygotowują się do użycia znalezionych dziur, a za swoje odkrycia są wynagradzani. W przypadku przeglądarek najlepiej wypadło Google Chrome – było atakowane dwukrotnie i za pierwszym razem próba zakończyła się niepowodzeniem. Przy drugim podejściu udało się przełamać zabezpieczenia tej przeglądarki, ale sukces był tylko częściowy, bo wykorzystana podatność była już raportowana. W efekcie osoby dokonujące ataku nie otrzymały maksymalnej ilości punktów za swoje działania. Konkurencyjne produkty, czyli Microsoft Edge i Apple Safari nie mogły pochwalić się taką ochroną.

Obie wspomniane przeglądarki udało się pokonać przy każdej próbie (2 na Edge, 3 na Safari). Największą nagrodę w całym konkursie wypłacono właśnie za atak na Edge: to aż 85 tysięcy dolarów za pojedyncze przełamanie zabezpieczeń. W systemie Windows 10 znaleziono sześć luk, OS X nie okazał się lepszy – tutaj zanotowano pięć dziur. Podatny okazał się także Adobe Flash z czterema atakami na koncie. Odkrycia te nie tylko pokazują, że żadne oprogramowanie nie jest wolne od dziur, ale na dodatek stanowią cenne źródło informacji dla deweloperów: teraz mogą się oni zająć łataniem wykorzystywanych dziur, aby nie stały się one czasem zagrożeniem dla zwykłych użytkowników.

W tym roku Pwn2Own odbył się bez Firefoksa - ta przeglądarka została wykluczona ze względu na zbyt niski poziom bezpieczeństwa.

Tegoroczne zmagania Pwn2Own były sponsorowane przez HP i Trend Micro, łącznie odkrywcom wypłacono 460 tysięcy dolarów. Przebiegała ona nieco inaczej niż w ubiegłym latach – nikt nie atakował przeglądarki Mozilla Firefox, bo została ona z konkursu wykluczona. Powodem są zbyt słabe mechanizmy zabezpieczające, które spowodowały, że według organizatorów aplikacja byłaby dla atakujących zbyt łatwym kąskiem. W zawodach brało udział pięć zespołów: trzy z chińskiej firmy Tencent, jeden z Quihoo 360, a także jeden z Korei Południowej. Jak więc widać, chińscy specjaliści zajmujący się bezpieczeństwem mają wiele do powiedzenia.