Комментарии участников:
В рамках pwn2own 2011 хакерам предстоит взломать еще один популярный браузер — Mozilla Firefox, а также смартфоны Dell Venue Pro на платформе Windows 7, iPhone 4 с iOS, BlackBerry Torch 9800, работающего под управлением BlackBerry 6 OS и Nexus S с «осью» Android.Прекрасно! То есть Android и Windows Phone 7 (написано с ошибкой) находятся в одинаковом положение — «ещё не взломаны». Но для автора новости Android УЖЕ «выстоял», а Windows Phone 7, видимо, нет. Пропагандистский бред!
Первым «пал» браузер Safari 5.0.3, запущенный на платформе Mac OS X 10.6.6. По словам соучредителя французской VUPEN Шауки Бекрара, взломавшей «яблочный» браузер всего за пять секунд, его команде перед этим понадобилось две недели, чтобы разработать нужный эксплойт.
Вторым был «вскрыт» Internet Explorer 8 на 64-разрадной Windows 7 с последним пакетом обновлений Service Pack 1. Это удалось сделать Стивену Фьюверу, эксперту по безопасности из Ирландии. Специалист отметил, что для взлома IE8 он использовал целых три отдельных уязвимости, одна из которых касалась «песочницы» Protected Mode («Защитный режим»). Для успешного обхода системы защиты браузера от Microsoft Фьюверу потребовалось пять-шесть недель.
Это браузеры для десктопных осей, а андройд мобильная ось и как говорится в статье ее еще не ломали, зато по заголовку андройд остался не побежденным.
а также смартфоны Dell Venue Pro на платформе Windows 7… Ты когда-нибудь видел Windows 7 на смартфонах? Это это не Windows 7, а Windows Phone 7 и его никто не взломал. Поправь, пожалёйста.
В общем-то да, но это уже получается на порядки сложнее…
Если вычеркнуть JS, то HTML-рендерер ещё остался и картинки (через дыры в libpng/libjpeg ломать любили когда-то).
Флеш/джаву/сульверлайт и прочии дырявые недобыдлотехнологии, как я понимаю, в Pw2Own не ломают в связке с браузерами по понятным причинам. Хотя NoScript их тоже режет вместе со всякими xss, csrf и т.д.
Если вычеркнуть JS, то HTML-рендерер ещё остался и картинки (через дыры в libpng/libjpeg ломать любили когда-то).
Флеш/джаву/сульверлайт и прочии дырявые недобыдлотехнологии, как я понимаю, в Pw2Own не ломают в связке с браузерами по понятным причинам. Хотя NoScript их тоже режет вместе со всякими xss, csrf и т.д.
ну был же недавно еще в ие баг с обработкой css, что можно было через css в памяти выполнить произвольный код…
NoScript не панацея. Хакер может просто взять взломанный хостинг и на его популярных сайтах, которые у всех в NoScript разрешены, понавешать своих скриптов.
не, тут дело немного в другом. Гугл каждый год собирает баги которые могут привести к проигрышу на пв2овн и за неделю до соревнования выпускает патч на все. То есть попросту тянут. До этих соревнований вроде около 20 багов закрыли, единым патчем. И это не от того что быстро работают, а от того что ждут и тянут.
Хитрые однако. Но что мешает тоже самое проделать другим производителям?
А вообще, смысл конкурса и его текущие варианты проведения немного бредовые.
Просто раньше, не знаю как сейчас. Если внутри хак тусы проводились подобные конкурсы, то в живую искали и ломали, а не готовились заранее. Как будто только сейчас вышел на цель и её надо победить всеми знаниями и софтом которыми обладаешь на данный момент.
А выходит, что заявляют «первым и быстрым оказался Вася». Хотя Вася, искал багу и писал сплоит пару месяцев, а потом просто запустил готовый скрипт. А то что Петя, нашёл уязвимость за пол часа и ещё за мин 10 написал сплоит, но его скрипт отработал на 5 сек дольше Петиного, уже в пролёте.
А вообще, смысл конкурса и его текущие варианты проведения немного бредовые.
По условиям pwp2own 2011, хакеры должны «вскрыть» самую последнюю стабильную версию браузера. Задача считается выполненной, если у них получится запустить через интернет-обозреватель произвольный код. В этом случае «взломщик» получает деньги и устройство, на котором работал браузер.В моём понимании это значит приехать на соревнование и там взломать. Там искать уязвимости. А не пол года готовиться и потом такой красивый приехал и запустил готовый скрипт. Который не факт что именно ты нашёл а не просто купил/выпросил/сгуглил в сети.
Просто раньше, не знаю как сейчас. Если внутри хак тусы проводились подобные конкурсы, то в живую искали и ломали, а не готовились заранее. Как будто только сейчас вышел на цель и её надо победить всеми знаниями и софтом которыми обладаешь на данный момент.
А выходит, что заявляют «первым и быстрым оказался Вася». Хотя Вася, искал багу и писал сплоит пару месяцев, а потом просто запустил готовый скрипт. А то что Петя, нашёл уязвимость за пол часа и ещё за мин 10 написал сплоит, но его скрипт отработал на 5 сек дольше Петиного, уже в пролёте.
На месте не получится. Слишком сложно всё. Многие победители говорили, что на взлом ушло несколько недель.
Да, но ценят победителей не по времени поиска и развитию уязвимости, а по скорости выполнения уязвимости.
То есть я найду уязвимость за месяц до соревнования, а вы за два дня. Я весь месяц буду оптимизировать сплоит достигая максимально быстрого выполнения. А вы только работоспособность. В итоге я буду победителем, а вы нет. А то что вы со своими знаниями смогли найти уязвимость за пару дней, я же за месяц безсонных ночей из-за мелких знания. Это никого не колишит. В итоге ум и опыт, не оценивается.
Вот что мне не нравиться :)
То есть я найду уязвимость за месяц до соревнования, а вы за два дня. Я весь месяц буду оптимизировать сплоит достигая максимально быстрого выполнения. А вы только работоспособность. В итоге я буду победителем, а вы нет. А то что вы со своими знаниями смогли найти уязвимость за пару дней, я же за месяц безсонных ночей из-за мелких знания. Это никого не колишит. В итоге ум и опыт, не оценивается.
Вот что мне не нравиться :)
Но непонятно как оценить то, что вы предлагаете в рамках соревнования. Что мешает участникам подготовиться? Кто будет ждать несколько дней, пока участники будут пытаться найти уязвимости? Современные браузеры и оси сильно защищены, так что быстро взломать их не получится.
уязвимости в таким продуктах ищутся неделя и месяцами. На месте не получится. Купленные уязвимости не играют по той причине что стоят гораздо больше тех денег что дают на конкурсе.
Издание Ars Technica объясняет это тем, что накануне Google обновила систему безопасности своего браузера, закрыв по меньшей мере 24 уязвимости.Хитро гугл поступил, очень хитро…
На моей рабочей машине две самые обновляемые по количеству предложений репозитория (3-4 раза в неделю) от разработчиков программы — Google Chrome и Chromium. Чаще обновляются только базы вирусов Касперского. Не вижу противоречия. Если только это обеспечивает безопасность, почему бы не обновляться хоть по нескольку раз в день?
