popularne
Najczęściej czytane
- Chrome, Firefox, MSIE - który najbezpieczniejszy? (czytane 1000 razy)
- Dziury w Wifi (czytane 944 razy)
- Jak hydraulik został rosyjskim hakerem (czytane 927 razy)
- Domena .pl podpisana (czytane 740 razy)
- Złamano szyfry telefonii satelitarnej (czytane 427 razy)
Biblioteka Wiedzy poleca
Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe
Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »
Dlaczego warto korzystać z Office 365?
Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »
System Epicor ERP z certyfikatem TEC
Przeczytaj (po polsku) pełny raport Technology Evaluation Centers z certyfikacji systemu Epicor ERP i poznaj niezależną opinię jednej z najbardziej...
pobierz »
powiększ tekst 
AKTUALNOŚCI
Pwn2Own - IE8 i iPhone padną pierwszego dnia?
19 marca 2010
securitystandard W przyszłym tygodniu odbędzie się kolejna edycja słynnego konkursu hakerskiego Pwn2Own. Zdaniem jednego z organizatorów imprezy, w pierwszej kolejności uczestnicy zdołają sforsować zabezpieczenia smartphone'a firmy Apple oraz najnowszej wersji Internet Explorera.Portnoy uważa, że tym razem pierwszą przeglądarką, do której ktoś zdoła się włamać, będzie Internet Explorer 8 Microsoftu. Specjalista dodał też, że iPhone będzie jedynym urządzeniem mobilnym, którego zabezpieczenia zostaną sforsowane podczas tegorocznej edycji Pwn2Own. Tak w każdym razie wynika z rozmów z osobami, które oficjalnie zgłosiły się do udziału w konkursie (rozpoczynającym się 24 marca w Vancouver, podczas konferencji CanSecWest). Dodajmy, że te prognozy są nieco odmienne od wcześniejszych przewidywań Aarona Portnoya - jeszcze niedawno mówił on, że jako pierwsza "padnie" przeglądarka Safari, zaś od odpowiedzi na pytania o to, do którego smartfona ktoś zdoła się włamać, zdecydowanie się uchylał.
100 000 USD do wygrania
Łączna pula nagród w Pwn2Own 2010 to 100 tys. USD. Konkurs będzie przebiegał dwutorowo - uczestnicy będą próbowali sforsować zabezpieczenia popularnych przeglądarek internetowych oraz systemów instalowanych w urządzeniach mobilnych. Jeśli chodzi o przeglądarki, to celem będą aplikacje Chrome, Firefox, Internet Explorer oraz Safari (zainstalowane w Windows 7 lub Mac OS X). W drugiej części uczestnicy będą mieli do wyboru Apple iPhone 3GS, Blackberry Bold 9700, Nokię z systemem Symbian S60 (modelu na razie nie podano) oraz Motorolę z systemem Android (najprawdopodobniej będzie to model Droid).
"Dowiedziałem się, że jeden ze współpracujących z naszym projektem ZDI specjalistów ostrzy sobie zęby na Internet Explorera 8 - zamierza on zaatakować tę przeglądarkę już pierwszego dnia. Wygląda na to, że zobaczymy bardzo interesującego - z technicznego punktu widzenia - exploita" - zapowiada Portnoy.
ZDI to skrót od Zero Day Initiative - prowadzonego przez TippingPoint programu wypłacania nagród pieniężnych za dostarczenie informacji o poważnych, nieznanych wcześniej lukach w oprogramowaniu. Warto dodać, że programem tym są automatycznie objęte wszystkie luki ujawnione w ramach Pwn2Own (przedstawiciele TippingPoint przekazują później szczegółowe informacje o błędach producentowi danej aplikacji czy systemu).
Włamanie do IE8 nie będzie proste
We wpisie opublikowanym w blogu TippingPoint Aaron Portnoy tłumaczy, że skuteczne włamanie do IE8 w Windows 7 będzie niezwykłym wyczynem - haker będzie bowiem musiał obejść dwie domyślnie włączone technologie zabezpieczające - DEP (Data Execution Prevention) oraz ASLR (Address Space Layout Randomization). Fakt, iż ów atak jest zapowiedziany na pierwszy dzień, świadczy o tym, że luka występuje w kodzie IE - ponieważ pierwszego dnia można atakować wyłącznie "gołe" - tzn. pozbawione wszelkich pluginów i wtyczek aplikacje (możliwość wykorzystania luk w popularnych dodatkach - np. wtyczce Flash - pojawi się dopiero drugiego dnia).
"Udostępniono mi pewne informacje na temat metody ataku, którą zamierza wykorzystać ów haker - i nie mam wątpliwości, że będzie on w stanie bez problemu obejść DEP i ASLR" - mówi Portnoy. Jego zdaniem ofiarą nr 2 będzie Safari (specjalista już wcześniej stwierdził, że to nieuchronne, ponieważ "zabezpieczenia w Mac OS X 10.6 - vel Snow Leopard - są znacznie gorsze niż w Windows 7"), zaś jedyną przeglądarką, do której nikt nie zdoła się włamać, będzie Google Chrome. Portnoy tłumaczy, że jest to obecnie najlepiej zabezpieczona przeglądarka internetowa - głównie za sprawą umiejętnego zastosowania w niej tzw. sandboksingu.
iPhone jedynym pokonanym smartphone'em?
Opierając się na informacjach od uczestników Aaron Portnoy stwierdził też, że iPhone 3GS firmy Apple będzie jedynym smartphone'em, do którego ktoś zdoła się włamać i że najprawdopodobniej nastąpi to już pierwszego dnia konkursu. BlackBerry, Nokia i urządzenie z Androidem najprawdopodobniej wyjdą z rywalizacji bez szwanku.
Dodajmy, że wspomniany już dwukrotny tryumfator Pwn2Own - Charlie Miller - weźmie udział również w tegorocznej edycji imprezy. I znów zamierza włamywać się do przeglądarki Safari. Apple co prawda usunął z niej przed tygodniem aż 16 błędów, ale Miller twierdzi, że kilka luk wciąż pozostało w programie i za ich pośrednictwem będzie w stanie sforsować zabezpieczenia aplikacji.
wydrukuj
Komentarze
- Liczba zatwierdzonych komentarzy (25) |
- dodaj komentarz |
- zobacz wszystkie
~Gość
- ocena: brak oceny
- IP: 85.128.36.194
- 19-03-2010, 15:02
może
~Zeke
- ocena: brak oceny
- IP: 165.72.200.11
- 19-03-2010, 15:06
Zaraz,
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2012 IDG Poland SA
