Канадский вариант
АрхивКолумнистыЕжегодная конференция CanSecWest стала одним из любимейших среди специалистов-практиков мероприятий в области компьютерной защиты. А в последние годы к её программе добавился ещё и хакерский конкурс Pwn2Own.
Ежегодная конференция CanSecWest 2009, состоявшаяся в середине марта в Ванкувере, как и обычно была посвящена прикладной цифровой безопасности. Благодаря теплой неофициальной атмосфере, мероприятие, отметившее в нынешнем году десятилетний юбилей, стало одним из любимейших среди специалистов-практиков в области компьютерной защиты. А в последние годы к программе конференции добавился ещё и хакерский конкурс Pwn2Own, победители которого получают солидные денежные призы и новенькое, взломанное ими устройство в придачу.
Участники конкурса, который спонсируется фирмой безопасности TippingPoint Technologies (подразделение корпорации 3Com), должны за отведенное время получить контроль над устройствами разных производителей - в этом году на растерзание хакерам были отданы ноутбуки и смартфоны.
В категории компьютеров жертвенными барашками стали машины с пропатченными версиями ОС и браузеров Internet Explorer 8, Firefox, Google Chrome, работающих под Windows 7 (для их запуска использовались ноутбуки Vaio), и Mac-версиями браузеров Safari и Firefox (ноутбуки MacBook). Отсутствие в конкурсе Linux не комментировалось, но можно вспомнить, что в прошлом году Ubuntu стала единственной операционной системой, устоявшей под напором хакеров.
Как правило, участники приезжают на конкурс со своими секретными домашними заготовками в надежде, что последние версии программ не сумеют противостоять взлому. По условиям состязания в браузере на подвергающемся атаке компьютере открывается ссылка, названная "злоумышленником". Ну а дальше - всё зависит от способностей взломщика.
Право выступать первым жребий определил Чарли Миллеру (Charlie Miller), аналитику балтиморской фирмы безопасности Independent Security Evaluators и призеру прошлогоднего конкурса. Тогда он за две минуты одолел браузер Safari на MacBook Air. На сей раз мишенью Миллер вновь выбрал "сафари", работающий под Mac OS X, а его новая "отмычка" оказалась ещё эффективнее. На то, чтобы взять под контроль машину, понадобились меньше десяти секунд. Заслуженная награда - ещё один поверженный MacBook и денежный приз в размере пяти тысяч долларов.
Другой победитель нынешнего конкурса, студент Университета Ольденбурга (Германия), выступавший под именем Nils, затратил на атаки больше времени, зато покорил все три популярных Windows-браузера - Internet Explorer, Firefox и Safari. В награду Нильс получил ноутбук Vaio P и 15 тысяч долларов - по пять за каждую из выявленных им уязвимостей.
Подобные состязания наглядно демонстрируют растущую коммерциализацию хакерского ремесла. В одном из интервью Миллер признался, что способ атаки, который он использовал в нынешнем соревновании, был обнаружен ещё при подготовке к прошлогоднему Pwn2Own. Но вместо того, чтобы использовать сразу все заготовки, он решил попридержать открытие до следующего раза, поскольку за выявленные баги для каждой конкретной конфигурации участнику полагается только одна выплата в год. Поэтому, подытожил Миллер, это стало частью его новой хакерской философии, - ни один баг не следует раскрывать изготовителям задаром: "У меня вроде как новая кампания. Она называется "Больше никаких бесплатных багов". Уязвимости теперь имеют рыночную стоимость, поэтому нет никакого смысла вкалывать в поисках багов, создавать эксплойты, а потом раздавать их просто так".
По правилам конкурса Pwn2Own, участникам запрещено раскрывать подробности об использованных ими методах взлома. Для этого заранее подписывается "договор о неразглашении", а "пострадавшие" в ходе атак изготовители ПО тут же извещаются о новых багах.
Подводя итоги Pwn2Own 2009 в категории компьютеров, можно констатировать, что, несмотря на все старания разработчиков, каждый из тройки популярных браузеров по-прежнему уязвим. И хотя их новый собрат, Google Chrome, в этот раз сумел отбить все атаки нападавших, эксперты склонны объяснять его успех скорее тем, что программа ещё не слишком распространена, нежели экстраординарными технологиями защиты. Стоит популярности Chrome заметно вырасти, как у хакеров появится стимул для более тщательного выявления его багов, которые в программе наверняка имеются.
Нечто похожее на ситуацию с Google Chrome продемонстрировал и Pwn2Own 2009 в категории смартфонов, где за отведенное на выступление время никому из конкурсантов не удалось скомпрометировать защиту ни одной из пяти выставленных платформ: Android, Blackberry, iPhone, Symbian и Windows Mobile. Практически для всех из перечисленных систем ранее были выявлены те или иные слабости, однако по ряду причин их оказывается сложно использовать для быстрого взлома, а результаты атаки, эксплуатирующей один и тот же баг, на разных моделях мобильных терминалов непредсказуемы. Иначе говоря, пока безопасность смартфонов обеспечивается их разнообразием.
Из еженедельника "Компьютерра" № 13 (777)
