$460,000 σε έπαθλα το φετινό Pwn2Own 2016

Ακόμη μια φορά τα μεγάλα ονόματα του internet browsing βρέθηκαν στο στόχαστρο, στα πλαίσια του διήμερου διαγωνισμού Pwn2Own που είχε ως στόχο την εκμετάλευση των κενών ασφαλείας σε Google Chrome, Microsoft Edge και Safari.

pwn2own-2016

Συνολικά $460.000 διανεμήθηκαν σε 21 ευπάθειες (vulnerabilities) μεταξύ των 3 browsers όπως επίσης και των Windows, OS X και Flash. Τον περασμένο χρόνο το έπαθλο ήταν 557.500$.

To Pwn2Own είναι μια ετήσια διοργάνωση που ξεκίνησε το 2007 στο CanSecWest security conference . Ο στόχος είναι η παραβίαση ευρέως χρησιμοποιούμενου λογισμικού με ευπάθειες που δεν έχουν ακόμη γνωστοποιηθεί στο ευρύ κοινό με αντάλλαγμα την συσκευή που παραβιάστηκε καθώς επίσης και χρηματικά έπαθλα. Το όνομα της εκδήλωσης προέρχεται από το γεγονός ότι οι διαγωνιζόμενοι πρέπει να να κάνουν «pwn» (ένας διαφορετικός το τρόπος να πεις το «hack») την συσκεύη ούτως ώστε για να την κερδίσουν («own»).

Εκ των τριών, ο Chrome είχε την καλύτερη επίδοση. Στις 2 απόπειρες για hack στον browser της Google, η μιά απέτειχε ενώ η δεύτερη κρίθηκε μερικώς επιτυχής. Η ευπάθεια που οδήγησε στην παραβίαση του Chrome, είχε όμως ήδη αναφερθεί στην Google γεγονός που δεν έδωσε τους πλήρης βαθμούς στον επίδοξο hacker.

Εν τω μεταξύ ο Edge της Microsoft και ο Safari της Apple δεν άντεξαν καμία από τις επιθέσεις. Δύο απόπειρες έγιναν στον browser της Microsoft και τρεις στον browser της Apple. Όλες οι απόπειρες στέφθηκαν με επιτυχία (2/2 για τον Edge και 3/3 για τον Safari). Το μεγαλύτερο χρηματικό έπαθλο δόθηκε για ενιαία απόπειρα και ανέρχονταν στις 85.000$ για την παραβίαση του Edge.

Ακολουθούν αναλυτικά τα 21 κενά ασφαλείας που εντοπίστικαν

  • Microsoft Windows: 6
  • Apple OS X: 5
  • Adobe Flash: 4
  • Apple Safari: 3
  • Microsoft Edge: 2
  • Google Chrome: 1 (που όμως είχε ηδη γίνει report στη Google)

Από τη λίστα απουσιάζουν λειτουργικά συστήματα γιατί οι επιτιθέμενοι τα εκμεταλεύθηκαν προκειμένου να αποκτήσουν πρόσβαση έξω από τον browser. Στην πραγματικότητα, κάθε επιτυχημένη επίθεση φέτος έγινε με την επίτευξη system ή root δικαιωμάτων, κάτι που δεν συνέβη ποτέ παλιότερα σε αυτό το event. To Adobe Flash συμπεριλήφθη γιατί ήταν αναμενόμενη η χρήση του προκειμένου να καταστρατηγηθεί η ασφάλεια του browser.

11 απόπειρες έγιναν φέτος από 5 ομάδες:

  • Tencent Security Team Sniper (KeenLab and PC Manager): 3/3
  • 360Vulcan Team: 1.5/2
  • JungHoon Lee (lokihardt): 2/3
  • Tencent Security Team Shield (PC Manager and KeenLab): 1/2
  • Tencent Xuanwu Lab: 0/1

Αν ενδιαφέρεστε για τις ομάδες και τις τεχνικές τους, η Trend Micro έχει υλικό και απο τις δυο μέρες και μπορείτε να τις δείτε στα παρακάτω βίντεο

ΠηγήPwn2Own 2016: Chrome, Edge, and Safari hacked, $460,000 awarded in total , EMIL PROTALINSKI

Απορίες, παρατηρήσεις, ιδέες... Ελεύθερα ! Πες την άποψή σου... έστω και Ανώνυμα:

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s