Prieš keletą dienų žiniasklaidoje pasirodė pranešimai apie saugumo ekspertų konferenciją CanSecWest ir joje vykstančias įdomias varžybas – kuris iš pateiktų skirtingų konfigūracijų kompiuterių bus „nulaužtas“ pirmasis. Kaip reikalai klostėsi visiems dalyviams savo dienoraštyje su komentarais pasakoja informacijos apsaugos specialistas Audrius Lučiūnas.

Nuo 2007 metų konferencijos CanSecWest metu vyksta konkursas “PWN to 0WN”. Šiemet konkursas vyko antrą kartą. Visas veiksmas vyksta tris dienas, o jo metu saugumo analizei pateikiami 3 nešiojami kompiuteriai su standartinėm OS instaliacijomis ir visais atnaujinimais. Šiemet konkurse dalyvavo:

• Sony VAIO VGN-TZ37CN su Ubuntu 7.10
• Fujitsu U810 su Vista Ultimate SP1
• MacBook Air su OSX 10.5.2

Konkurso tikslas - išlaužti kurią nors sistemą. Tačiau tam egzistuoja kelios taisyklės. Kadangi konkurso trukmė yra trys dienos, tai pirmąją dieną galima išnaudoti tik nuotolinius pažeidžiamumus be jokių įsikišimų iš sistemų vartotojų. T.y. tiesiog tinkle yra įjungtos šios trys sistemos ir tikslas yra surasti jose rimtus pažeidžiamumus. Pirmam tai padariusiam atitektų išlaužtas kompiuteris ir 20 000 USD piniginis prizas.

Antrąją dieną sąlygos šiek tiek keičiasi. Jau galima išnaudoti ne tik nuotolinius pažeidžiamumus, bet ir standartinių klientinės dalies aplikacijų pažeidžiamumus (pvz. paspausti el. paštu atėjusią nuorodą, nueiti į kokį nors tinklalapį ar pasinaudoti pokalbių programa). Pirmam tai padariusiam antrąją dieną atitektų išlaužtas kompiuteris ir 10 000 USD piniginis prizas.

Trečiąją dieną sąlygos dar palengvėja. Dabar jau galima diegti į sistemas populiarias trečiųjų šalių aplikacijas. Žinoma, mažėja ir prizas. Trečią dieną laimėti galima išlaužtą kompiuterį ir 5000 USD piniginį prizą. Vienu metu viena komanda gali dirbti tik su viena sistema. Sistemos keičiasi kas tam tikrą laiko tarpą.

Šių metų konkurso rezultatai tokie, kad pirmąją dieną prizo negavo niekas. Antrąją dieną buvo jau šiek tiek įdomiau. Antrosios dienos konkursas prasidėjo 12:30, o 12:38 jau buvo pirmoji laimėjusi komanda. Pažeidžiamumas buvo surastas Apple Safari naršyklėje. Kol gamintojas nepašalins pažeidžiamumo, tol apie jį daugiau detalių atskleista nebus, tačiau MacBook Air iš žaidimo iškrito pačioje antrosios dienos pradžioje, o Charlie Miller, Jake Honoroff ir Mark Daniel iš Independent Security Evaluators Gavo Mac’ą ir 10 000 USD. Taip taip, tai tie patys, kurie pirmieji paturėjo iPhone’ą.

Taigi, žaidime toliau dalyvauja Vista su SP1 ir Ubuntu 7.10. Antroji diena taip ir baigiasi. Šios dvi sistemos atsilaikė. Trečiosios dienos konkursas prasidėjo tuo pačiu metu, t.y. 12:30, o 14:30 dar nebuvo jokių rezultatų. Tačiau 19:30 buvo išloštas Fujitsu su Vista ir 5000 USD. Prizą gavo Shane Macaulay iš Security Objectives po to, kai į Vista įdiegė Adobe Flash paskutinę versiją. Taip ir baigėsi trčioji diena. Šis pažeidžiamumas veikia visose OS su naujausiu Flash grotuvu, todėl Ubuntu turbūt tiesiog pasisekė, kad jo “pačiupinėti” ši komanda jau nebespėjo. Pažeidžiamumas taip pat yra neviešinamas, kol jo nepašalins gamintojas.

Taigi, konkurse eilinį kartą ypač blogai pasirodė Apple’as. Blogai su jais. Labai blogai. Prieš metus jie apturėjo the Month of Apple Bugs, kai kiekvieną 2007m. sausio dieną buvo atskleidžiama po vieną Mac’ų pažeidžiamumą su išnaudojimo įrodymu (Proof of Concept). Dabar praėjus metams nedaug kas pasikeitė. Konkurse teprireikė vos 8 min. Mac’ui nukalti. Linux sistemos savo apsauga jau senai garsėjo, o Vista galima tik pagirti. Nebūdingas rezultatas Windows sistemai. Atrodo, kad šioje vietoje Microsoft’as iš tiesų gerai padirbėjo per paskutinius kelerius metus.

Pridedu ir trumpą video iš YouTube apie tą patį.

Audrius Lučiūnas,

UAB "Informacijos saugos sprendimai"

Komentarai (7)