В английском айтишном жаргоне есть словечко «pwned», перевести которое на русский можно таким же коротким «поимели». Грубо, согласен, некорректно, непечатно, да вот только именно этот короткий вариант точнее всего передаёт суть. Когда программу, над которой тысячи разработчиков корпят годами, уделяя особое внимание защищённости, так вот когда такую программу за полчаса превращают в «парадный вход», на ум не приходит ничего другого. И именно так всё произошло на конкурсе Pwn2Own — традиционно сопровождающем конференцию по «прикладной безопасности» CanSecWest, состоявшуюся на прошлой неделе в канадском Ванкувере.
Конкурсантам предлагалось взломать один или несколько популярных веб-браузеров, получив через них полный доступ к компьютерам под управлением MS Windows и Mac OS X. И задача была решена на все сто процентов: ни один из атакованных браузеров не устоял. Результат не просто удручающий: страшный! Ведь никакие самые распоследние защитные механизмы не смогли обеспечить неприступность.
Внимание, проявляемое к Pwn2Own, как и далеко идущие выводы, делаемые на основе его результатов, объясняются тремя причинами. Во-первых, у конкурса очень щедрые спонсоры: призовой фонд, наполняемый HP и Google, нынче превышал полмиллиона долларов. При этом самый мелкий приз составлял 20 тысяч, а за один только взлом Internet Explorer 10 на Windows 8 давали сразу сто. Отсюда и причина номер два: участники — профессионалы высшего класса, живущие консультациями по вопросам компьютерной безопасности, а то и продажей собственноручно найденных уязвимостей «нулевого дня» (ZDV). Вроде французской Vupen Security, завсегдатая конкурса, продающей ZDV корпорациям и спецслужбам, и в этот раз опять унёсшей призовых денег больше всех. Или германской MWR Labs, имя которой то и дело всплывает в связи с очередной интересной, нестандартной брешью в защитах самых разных цифровых устройств.
А всё вместе это приводит к третьей причине: уязвимости, найденные участниками Pwn2Own, могли бы превратиться в смертоносное оружие, если бы просочились наружу до того, как их успеют «залатать» разработчики собственно взломанных программ. Никому неизвестная «дыра» в браузере, дающая полный доступ к операционной системе, способна породить как минимум глобальную эпидемию.
По сравнению с прошлым годом (см. «Как ломали Google Chrome»), нынче список атакуемых приложений был расширен — к браузерам, в роли которых выступали Internet Explorer 10, Firefox 19, Chrome 25, добавили плагины Adobe Flash, Adobe Reader, Java. Все они поочерёдно «легли» под атаками белых хакеров. Не помогли ни модные нынче «песочницы» (когда потенциально опасный код исполняют в изолированном от других приложений и данных пространстве), ни рандомизация адресов при загрузке кода, ни разделение кода исполняемого и данных.
Свежие, пропатченные по последним требованиям безопасности программы одна за другой сдались на милость победителей. Повезло только Safari — который в этот раз не взломали, потому что не пытались. Никто из конкурсантов не пожелал тратить на него время: призы за браузер Apple мелковаты, а продемонстрированная уязвимость должна быть использована в первый и единственный раз, так что, видимо, памятуя, что в прошлые годы Safari сдавался одним из первых, нынче его обошли вниманием.
Показать / Скрыть текст
(c)
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?
