В Канаде проходит конференция специалистов по системной безопасности CanSecWest, и проводимый в ее рамках конкурс хакеров PWN 2 OWN традиционно привлекает внимание прессы. Задача состоит в том, чтобы взломать один из компьютеров – первый, кому это удастся, забирает его в качестве приза. Также победители получают значительные денежные премии от спонсора TippingPoint, но главная награда – авторитет и известность в профессиональной среде.

На этот раз вниманию специалистов в области компьютерной безопасности были предложены три ноутбука и три различные операционные системы:

• Sony Vaio VGN-TZ37CN со свободно распространяемой Ubuntu 7.10 – популярной версией Linux для домашних пользователей; 
• Fujitsu-Siemens U810 с установленной на нем Vista Ultimate SP1; 
• MacBook Air с операционной системой OSX 10.5.2 Leopard.

На все системы были установлены последние обновления безопасности. Для того, чтобы победить в конкурсе, требовалось прочитать содержание специального файла на компьютере, используя только ранее неизвестные уязвимости.

День первый был посвящен проверке безопасности собственно операционных систем: машины были подключены к сети через проводное соединение, но авторизация пользователя не была выполнена. Хакеры могли полагаться только на внутренние уязвимости ОС. Приз включал, помимо самого взломанного ноутбука, $20,000. Хорошая новость заключается в том, что в течение первого дня ни одна машина не была скомпрометирована, что говорит о высоком уровне безопасности современных операционных систем самих по себе. Вот только никто не использует компьютер лишь ради операционной системы – обычно люди работают с интернетом, почтой, «аськой» и офисными приложениями.

Поэтому организаторы предусмотрели день второй, более приближенный к реальности. Теперь взломщики могли использовать «дыры» в приложениях, поставляемых вместе с операционной системой – таких как браузер, почтовый клиент или интернет-мессенджер. Взломщик мог инициировать загрузку веб-сайта с вредоносным кодом или отправить его по электронной почте. Этот этап конкурса имитирует работу обычных пользователей, которые не устанавливают приложения сторонних производителей, а полностью полагаются на включенные в поставку ОС программы. Взлом на этом этапе более вероятен, так как разработчики часто допускают ошибки, отлаживая взаимодействие своих приложений со своей же операционной системой.

Первым участником, которому была предоставлена попытка, стал Чарли Миллер сотоварищи из Independent Security Evaluators, – и они сразу же взломали MacBook Air. Всего две минуты потребовалось Миллеру, чтобы проникнуть в операционную систему OSX 10.5.2. Leopard и прочитать содержимое секретного файла. Для этого он, скорее всего, использовал уязвимость в Safari – последней версии браузера от Apple (кстати, на днях была представлена бесплатная версия этого браузера для Windows с встроенным сервисом обновлений iTunes). Миллер попросил огранизаторов зайти с помощью Safari на созданную им страницу в сети – и всего через две минуты предоставил содержимое проверочного файла.

Чарли Миллер – известный специалист по компьютерной безопасности, в частности, прославился тем, что в прошлом году был первым, кто взломал защиту iPhone. «Я выбрал Mac, потому что я хорошо знаю эту систему, и для меня взломать ее легче», – заявил Миллер, сам большой поклонник продукции Apple, забирая в качестве приза скомпрометированный ноутбук и $10,000. Согласно условиям конкурса, победитель не может разглашать способ взлома, пока производители не выпустят исправление ошибки. В прошлом году, кстати говоря, конкурс PWN 2 OWN был целиком посвящен взлому компьютеров Apple, он так и назывался – hack-a-Mac; выиграл его Дино Дай Зови, используя для взлома MacBook уязвимость в популярном медиа-плеере QuickTime. Тогда Apple исправил ошибку за две недели.

Две другие машины, под управлением Vista и Ubuntu, сегодня устояли перед попытками взлома. Завтра начнется день третий, в течение которого разрешено использовать уязвимости в программах сторонних производителей. Организаторы уверены: в таких условиях ни одна система не устоит, каждый ноутбук достанется новому хозяину, равно как и $5,000 – приз за взлом на третий день. А на интернет-форумах фанаты и ненавистники продукции Apple опять раскопали томагавки священной войны и ожесточенно защищают свои пристрастия, быстро переходя на личности.

Дополнение от 29/03/08: К концу третьего дня Шейн Маколей с помощью Александра Сотирова успешно взломал Vista SP1 после установки последней версии Adobe Flash. Им достался ноутбук Fujitsu и $5000.

Операционную систему Ubuntu 7.10 - версию Linux для домашних пользователей, которая была инсталлирована на Sony Vaio, взломать по итогам конкурса не удалось.

Читайте также:

• Встречайте ноутбук 2015 года