Tradiționalul concurs de hacking Pwn2Own desfășurat în paralel cu conferința pe teme de securitate CanSecWest s-a desfășurat în perioada 12-13 martie cu niște rezultate interesante: toate browser-ele importante pot fi sparte, Firefox cel mai ușor.
Pwn2Own reprezintă locul de joacă al celor mai buni cercetători din domeniul securității: în cele 30 de minute pe care le au la dispoziție echipele trebuie să demonstreze că pot trece de sistemele de securitate implicite de pe PC-uri rulând cele mai noi versiuni de Windows și Mac OS, cu toate update-urile la zi și cu cele mai noi versiuni de Chrome, Firefox sau Internet Explorer. Atacatorii pot să creeze site-uri speciale prin care să își trimită exploit-urile atunci când de pe sistemul țintă este accesat URL-ul furnizat de ei.
Anul acesta la Pwn2Own au fost premii de peste 400 000 USD pentru cei ce au participat în competiție.
Google a început prin a arăta că poate trece peste un Safari complet protejat și să lanseze pe Mac OS X aplicația Calculator cu drepturi de root! O treabă care ar trebui să ridice multe semne de întrebare celor ce încă se bazează exclusiv pe ”protecția” Safari + Mac OS X.
Într-o situație similară s-a aflat și Windows 8.1 plus Interet Explorer 11 care au căzut în fața unui exploit pe mai multe niveluri, capabil să ruleze cod terț pe sistemul infectat. Cele două reușite au strând 82500 USD ce au fost donați Crucii Roșii Canadiene.
În centrul atenției a fost browser-ul Mozilla Firefox care a căzut în trei atacuri diferite, permițând rularea de cod terț pe mașina țintă.
- Against Mozilla Firefox, an out-of-bound read/write resulting in code execution.
- Against Mozilla Firefox, two vulnerabilities, one allowing privilege escalation within the browser and one bypassing browser security measures.
- Against Adobe Flash, a use-after-free with an IE sandbox bypass resulting in code execution.
- Against Adobe Reader, a heap overflow and PDF sandbox escape, resulting in code execution.
- Against Microsoft Internet Explorer, a use-after-free causing object confusion in the broker, resulting in sandbox bypass.
- Against Mozilla Firefox, a use-after-free resulting in code execution.
Aceiași soartă au avut-o și produsele Flash și Reader de la Adobe.
Dacă în ceilalți ani browser-ul Chrome a scăpat, în 2014 i-a venit și lui rândul: un bug a permis trecerea de zona sandbox și rularea de cod terț. În mod interesant, dacă peste Internet Explorer 11 a fost aplicată soluția Microsoft antiexploit EMET (Enhanced Mitigation Experience Toolkit) exploit-urile nu au mai putut fi folosite.
Aproape toate vulnerabilitățile prezentate au fost trimise producătorilor de software în vederea remedierii.
De remarcat că în 2014 capul de afiș este deținut din nou de compania franceză VUPEN, responsabilă pentru cele mai multe atacuri reușite. Și din nou, Chaouki Bekrar (fondatorul VUPEN) a ținut să reamintească un lucru ce poate acum, cu experiența PRISM în spate, are altă conotație: cei mai mari clienți ai companiei sale, cei care plătesc bani buni pe exploit-urile găsite/create sunt guvernele! Mai mult, niciunul dintre exploit-urile create de ei și vândute guvernelor nu au fost descoperite de alți cercetători independenți.
În traducere liberă Bekrar spune că suntem vulnerabili pe internet, cei interesați să poată intra pe sistemele noastre nu sunt alții decât chiar cei ce ne guvernează.
Oare de ce nu mă miră?
Alt lucru ce mai trebuie înțeles după Pwn2Own 2014 este că acum avem confirmarea că nu mai există niciun browser sigur. De asta recomand folosirea unei metode suplimentare de protecție: o soluție de securitate cu firewall activ și sistem IDS (Intrusion Detection System).