Състезанието Pwn2Own, което традиционно се провежда по време на ежегодните конференции по сигурност CanSecWest, има за цел да разкрие слаби места и уязвимости на софтуерни продукти, останали извън вниманието на разработчиците.
Тази година домакин на CanSecWest беше канадският град Ванкувър. В рамките на конференцията, продължила от 16 до 20 март, експерти по сигурността се надпреварваха кой по-бързо ще успее да открие непознати досега уязвимости в последните версии на Firefox, Internet Explorer 8, Chrome и Safari. Според компанията Tipping Point, която беше спонсор на състезанието, само Chrome е останал незасегнат от двудневните “хакерски” атаки.
Главната цел на годишното състезание Pwn2Own е да се открият нови уязвимости в компютърни системи, така че засегнатите вендори да могат да ги остранят, отбелязват от TippingPoint. Компанията управлява екипа по програмата Zero Day Initiative (ZDI). Тя осигури наградите за победителите в състезанието за тази година.
Мениджърът по сигурност в компанията Тери Форслоф поясни, че всички победители са подписали споразумение за неразкриване и бъговете ще бъдат предадени на засегнатите вендори.
Високи спортни постижения
Първият победител в състезанието беше постоянният участник Чарли Милър, който превзе Safari на Mac OS X за две минути. Той беше награден с компютърно оборудване и 5,000 долара в кеш. Състезателят Джулиън Тиннис също успешно разби защитите на Firefox и Safari, но "за съжаление неговите усилия бяха извън критериите на състезанието, поради което не беше награден", обясни Форслоф.
Най-впечатляващото изпълнение обаче дойде от състезател, известен само с псевдонима си Нилс. Той насочи усилията си към намиране на слабост в IE8 и се пребори с най-новите вградени технологии за защита на Microsoft -- DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). Успехът му беше възнаграден с 5,000 долара.
Това обаче беше само загрявка за следващите победи. Нилс грабна още 5,000 долара за преодоляване на защитата на браузъра Safari на Apple, след което завърши триумфално деня с хеттрик като разби Firefox и спечели общо 15,000 долара.
Още на другия ден от Microsoft Security Response Center са уведомили Форслоф, че вече са възпроизвели и валидирали уязвимостта в IE8, разкрита от Нилс. “Аз бях шокиран, когато научих за потвърждението за по-малко от 12 часа”, каза Форслоф.
Без конкуренция
Въпреки престижното поведение на Chrome по време на тазгодишното състезание Pwn2Own, няма опасност за Internet Explorer да види в близко време някой, който да разклати установеното му положение на лидер в корпоративния сектор. Директорът на Gartner Research Рей Валдес отбелязва, че браузърът е само един аспект от комплекса сигурност в една корпоративна сцена.
“Съществуват много други инструменти и защити като софтуерни защитни стени, откриване на проникване, антивирус и защита против зловреден код”, обясни Валдес.
Ключово корпоративно изискване за браузърите е способността да ги конфигурира и управлява централно: да блокира или забрани определени функции и да контролира кога се обновяват. В момента IE има непоклатима позиция по отношение на тези изисквания."
Google се опитва да подобри още повече ефективността на Chrome чрез обратна връзка от потребители на последното бета издание, което не е напълно изчистено от бъгове. От компанията признават, че бетата все още не е достигнала фазата на стабилна версия.
Ако потребителите са избрали опцията за автоматично изпращане на статистики от употребата на тестовото издание и доклади за сривове във функциите, Google ще получава обратна информация винаги, когато нещо не е наред с браузъра. Освен това компанията е посочила една страница, която дава подробности за начините, по които потребителите могат да влязат във връзка с компанията по въпроси, свързани с Google Chrome.