Веб-браузер Internet Explorer 8 компании Microsoft, а не Apple Safari, станет самой легкой добычей хакеров на состязании Pwn2Own — так считает организатор мероприятия. Аарон Портной (Aaron Portnoy), организатор соревнования и исследователь вопросов безопасности компании 3Com, которая стала спонсором турнира хакеров, считает, что первым сраженным среди смартфонов станет Apple iPhone.
Соревнование хакеров Pwn2Own начнется 24 марта в канадском городе Ванкувер и продлится три дня. Господин Портной, который уже четвертый год подряд организовывает турнир Pwn2Own, недавно сменил свое мнение. Раньше он считал, что первым будет взломан именно веб-браузер компании Apple, а творения компаний Google, Microsoft и Mozilla продержатся немного дольше. Pwn2Own соберет лучших в мире хакеров, но не тех, которые воруют персональную информацию и деньги с электронных счетов, а специалистов по вопросам информационной безопасности, главной задачей которых является поиск и устранение уязвимостей в программном обеспечении. Денежный приз турнира составляет сто тысяч долларов, что станет хорошим стимулом для хакеров и заставит их работать активнее и с большим энтузиазмом.
Состязание Pwn2Own состоит из двух частей: в первой части задачей хакеров будет взломать веб-браузер, во второй — получить доступ к мобильной операционной системе. Противостоять хакерам будут популярные браузеры Chrome, Firefox, Internet Explorer и Safari (будет работать в среде операционных систем Windows 7 и Mac OS X). Мобильный «арсенал» соревнования будет состоять из телефонов Apple iPhone 3GS, Blackberry Bold 9700, смартфона Nokia, работающего под управлением мобильной платформы Symbian S60, и устройства компании Motorola (скорее всего, модели Droid), основанного на базе операционной системы Google Android.
«Я узнал о том, что один из участников очень усердно готовится к атаке на IE8. Он будет использовать ZDI (Zero Day Initiative) эксплоит с просто внушительной эффективностью и технологичной продуманностью» - ответил Портной на вопрос о том, что именно заставило изменить его мнение относительно самого быстрого взлома. Несмотря на оптимизм участников, Портной утверждает, что взломать творение компании Microsoft - Internet Explorer 8 — будет не просто, все благодаря механизмам безопасности операционной системы Windows 7: DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). В первый день состязания Pwn2Own участникам не будет разрешено использовать сторонние плагины для веб-браузеров. «Я уже ознакомился с уровнем готовности большинства участников и не имею сомнения в том, что, несмотря на DEP и ASLR защиту IE8 будет взломан в первый день» - сказал Портнов.
Ранее Портной был готов заключить пари, что Safari первым поддастся умелым рукам хакеров, аргументировал он свое мнение фразой «Mac OS X 10.6 Snow Leopard не находится на одном уровне с Windows 7». По мнению Портного, Google Chrome будет единственным браузером, который продержится все три дня соревнования. Причиной этому является модель «песочницы», которая используется в Chrome и отделяет браузер от системных процессов и пользовательских данных. Но многие другие специалисты по вопросам информационной безопасности, в том числе прошлогодний победитель турнира Pwn2Own Дино Даи Зов (Dino Dai Zov), считают, что модель «песочницы» не спасет Chrome от хитроумных уловок хакеров.
Портной также на протяжении последнего месяца изменил свое мнение относительно мобильной платформы, которая первой будет взломана. Ознакомившись с планами участников, он пришел к мнению, что в первый день будет взломан Apple iPhone, а BlackBerry, Nokia и Android-основанный смартфон продержатся как минимум до второго дня.
Pwn2Own стало очень популярным мероприятием. Многие энтузиасты хотят принять в нем участие, чтобы прославиться. К примеру, в прошлом году хакер Чарли Миллер (Charlie Miller) всего за пять секунд взломал компьютер Mac, за что получил мировое признание и пять тысяч долларов вознаграждения. В проведении данного мероприятия серьезно заинтересованы и производители программного обеспечения. Все тот же Чарли Миллер, который два года подряд в рамках соревнования Pwn2Own первым взламывал компьютеры Mac, помог компании Apple устранить шестнадцать уязвимостей в браузере Safari, двенадцать из которых — критические. Но на прошлой неделе Миллер заявил о том, что Apple пока не устранила все уязвимости, о которых ему известно.