Да, у хакеров тоже проводятся свои конкурсы. Один из них, ежегодный конкурс pwn2own, проводился с 9 по 11 марта в канадском Ванкувере в рамках конференции по информационной безопасности CanSecWest.
По плану участники соревнований должны были проверить на устойчивость к взлому самые популярные интернет-браузеры — Microsoft Internet Explorer, Apple Safari, Google Chrome и Mozilla Firefox.
Суть атаки заключалась в том, что участники конкурса при помощи специальных веб-страниц пытались перехватить управление удаленными компьютерами через полностью обновленные версии браузеров.
В качестве критерия успешности атаки применялось выполнение произвольной команды (например, запуск программы) и запись файла на диск на удаленном компьютере.
Взлом Apple Safari, функционировавшего под Mac OS X 10.6.6, производился специалистами французской компании VUPEN. Уже через 5 секунд после того, как в запущенном на MacBook Safari была открыта подготовленная хакерами веб-страница со специальным кодом, на жестком диске ноутбука оказался тестовый файл, а на экране открылось окно встроенной программы — калькулятора.
Взлом Internet Explorer 8, работавшего под Windows 7 Service Pack 1, производил ирландский эксперт по информационной безопасности Стивен Фьюер (Stephen Fewer). И тоже вполне успешно и довольно быстро.
В обоих случаях выполнение произвольных команд и операций с файлами было произведено в обход механизмов защиты, встроенных в браузеры и операционные системы. Причём, все необходимые обновления браузеров и ОС, существовавшие на тот момент, были установлены.
А вот два других «участника» соревнований — Google Chrome 10 и Mozilla Firefox 3 — взломаны не были. Но не по причине какой-либо сверхвысокой защищённости — хакеры просто отказались их ломать. Так как буквально накануне конкурса Google и Mozilla выпустили пакеты обновлений для своих браузеров, закрывшие бреши в защите, которые намеревались использовать хакеры.
Обновление для Safari до версии 5.0.4, вышедшее 9 марта (и поэтому не «успевшее» к конкурсу), закрыло более 60 уязвимостей. В новом релизе Chrome, вышедшем 8 марта, устранено 25 брешей, а в версии Firefox 3.6.14 от 1 марта было закрыто 10 уязвимостей в системе безопасности. Microsoft же, как обычно, предпочла ничего не выпускать для Internet Explorer не только в преддверии конкурса, но и вообще.
Подобная ситуация совсем не означает, что, например, Google Chrome и Mozilla Firefox взломать невозможно. Просто надо найти новые способы. Но и это также ещё раз доказывает преимущество открытых проектов, в которых ошибки и уязвимости закрываются максимально быстро, нередко в течении нескольких часов после обнаружения проблемы. А вот неповоротливость гигантских коммерческих корпораций не дает возможности для такого быстрого реагирования. Кроме того, участвовать в устранении ошибок могут только отдельные сотрудники Apple и Microsoft, а свободные проекты тестируют сотни тысяч членов сообщества.
Прим. Напомню, что на прошлогоднем конкурсе были скомпрометированы Internet Explorer, Firefox и Safari. Против Google Chrome, как и в этом году, успешной атаки проведено не было.
Кстати, второй этап хакерских соревнований был посвящён взлому мобильных устройств, на котором участникам вполне успешно удалось скомпрометировать смартфоны Apple iPhone и RIM BlackBerry
