Za razbijanje preglednika dovoljno deset sekundi!

Hakerima za rušenje internetskih preglednika Safari, Internet Explorer 8 i Mozilla Firefox treba samo nekoliko minuta, pokazao je današnji Pwn2Own, posebno natjecanje u etičkom hakiranju. Riječ je o priredbi na kojoj hakeri za novčanu nagradu ispituju pukotine u softveru, a kako se i očekivalo, rezultati su dojmljivi.

Vincenzo Iozzo i Ralf-Philipp Weinmann razbijaju zaštite na iPhoneu za pet minuta, kazala je glasnogovornica 3Com TippingPointa, sigurnosne tvrtke koja sponzorira natjecanje. Par je kući otišao sa 15.000 dolara u gotovini, što je rekordna nagrada natjecanja koje se održava četvrtu godinu.

Iozzo, talijanski student, radi za Zynamics, tvrtku na čijem je čelu poznati istraživač Thomas Dullien, a Weinmann je na postdoktorskom studiju kriptografije i sigurnosti na Sveučilištu u Luksemburgu.

Weinmann je vjerojatno najpoznatiji po tome što je kao dio tročlana tima 2007. pokazao kako sigurnosni protokol WEP na mrežama Wi-Fi traje mnogo kraće nego što se isprva mislilo.

Charlie Miller, analitičar u baltimorskom zavodu Independent Security Evaluatori, srušio je Safari na MacBooku i Snow Leopardu za tri minute. Miller je osvojio nagradu i 2008. i 2009. godine za hakiranje Maca; prošle godine Milleru je za Safari trebalo samo deset sekundi! Za današnje postignuće Miller je nagrađen notebookom i sa 10.000 dolara u gotovini. Nitko drugi osim njega nije osvojio Pwn2Own tri puta.

Novak na natjecanju Petar Vreugdenhil uspješno je pak iskoristio ranjivost u IE8 na Windowsima 7. Napad je službeni žiri nazvao "tehnički impresivnim" jer je lako zaobišao DEP (Data Execution Prevention), sigurnosni mehanizam u operativnom sustavu dizajniran da zaustavi većinu napada.

Još jedan bivši pobjednik, njemački student računarstva poznat samo po imenu Nils, nagrađen je sa 10.000 dolara za hakiranje Firefoxa na Windowsima 7.

Od svih pretraživača postavljenih kao meta natjecanja, nijedan nije ostao netaknut prvi dan. Google Chrome nije bio testiran.

Tvrtka TippingPoint ne objavljuje detalje ranjivosti sustava, umjesto toga kupuje prava na nedostatke i exploit-kodove. Zatim ih nudi tvrtkama. Tek nakon što kupac zakrpa pukotine u sustavu TippingPoint otkriva sve nedostatke.

Godine 2008., na primjer, Appleu su trebala samo tri tjedna da zakrpa bug u Safariju koji je iskoristio Miller da osvoji 10.000 dolara na svom prvom Pwn2Ownu.

Mozilla je nadmašila taj rekord prošle godine, kada je obnovila Firefox tjedan dana nakon što je Nils hakirao preglednik.