Jika Anda tertarik pada keamanan komputer, Anda mungkin pernah mendengar dari Pwn2Own. Ini adalah kompetisi yang telah menjadi agenda tahunan tahunan konferensi CanSecWest di Vancouver, British Columbia.
Kompetisi ini mendapat naman karena, sebagai penyelenggara CanSecWest menjelaskan, "Jika Anda dapat mengeksekusi kode arbitrary (PWN) atas [laptop atau telepon genggam] melalui browser sebelumnya dirahasiakan (Firefox, IE, Safari) mengeksploitasi, Anda bisa pulang dengan satu (SENDIRI). "
Browser di bawah api tahun ini adalah: Microsoft Internet Explorer, Apple Safari, Mozilla Firefox dan Google Chrome.
Ponsel Facebook pemboman adalah: Dell Tempat Pro menjalankan Windows 7, iPhone 4 menjalankan IOS, Blackberry 9800 Obor berjalan Blackberry 6 OS dan Nexus S menjalankan Android.
Apakah Anda pikir pembelian kerentanan dan eksploitasi (melalui pembayaran tunai atau hadiah) secara moral diterima atau tidak, itu praktik arus utama dalam industri keamanan hari ini.
Memang, persaingan Pwn2Own dijalankan oleh tidak lain dari HP, pemilik TippingPoint Zero Day Initiative (ZDI) merek. ZDI adalah sebuah program yang membayar untuk kerentanan, sehingga bug-pemburu penghargaan untuk hasil yang makan kembali ke komunitas keamanan daripada dijual ke cybercrooks. Pwn2Own menambahkan beberapa daya saing terbuka ke dalam bisnis pencarian bug!
HP berjanji untuk mempublikasikan nama-nama pemenang " karena mereka (mungkin) berhasil ", tetapi meskipun kontes berakhir pada Jumat pekan lalu, tidak ada pengumuman resmi belum dibuat.
Tapi itu tidak masalah - berkat jaringan sosial, hasil memukul internet dalam waktu dekat-nyata, jadi kita sudah tahu bahwa berikut ini adalah yang pwned:
* Safari
* Internet Explorer
* IPhone 4
* BlackBerry Obor 9800
Firefox, Chrome, Android dan Windows Mobile 7 semua tetap unpwned.
Ternyata, bahkan sebagian besar versi terbaru Safari, 5.0.4, dirilis hanya sehari sebelum kompetisi, masih rentan terhadap serangan.
Di sisi lain, upgrade IOS baru-baru ini yang paling untuk iPhone, IOS 4.3 , kepala dari mengeksploitasi digunakan di Pwn2Own. Itu bagus berita untuk iPhone 4 dan 3GS pengguna, yang dapat meng-upgrade, tapi buruk berita untuk perangkat Apple sebelumnya, yang tidak dapat ditingkatkan.
Secara teknis, Google Chrome tidak benar-benar bertahan serangan - para kontestan yang karena memakai produk ini tidak muncul. Namun demikian, aturan adalah aturan, sehingga Chrome tidak pwned.
Namun, cacat software yang digunakan dalam berhasil menyerang BlackBerry hadir di Chrome browser Google, yang berbasis di sekitar basis kode Webkit yang sama. Dalam respon cepat laudably, Google segera ditambalkode menyinggung di Chrome.
Omong-omong, sering kita dengar perangkat lunak yang semakin buruk, karena pernah kerentanan lebih banyak ditemukan. Tapi itu tidak mengejutkan, sekarang bahwa perusahaan-perusahaan seperti HP secara terbuka membayar peneliti untuk menemukan kerentanan dan mengungkapkan mereka di bawah kondisi yang terkendali.
Ada banyak lagi motivasi bagi para peneliti keamanan untuk menghabiskan beberapa minggu bekerja melalui dari kerentanan teoritis ke praktis mengeksploitasi bila ada potensi pendapatan pada akhir itu. Itu saja adalah penjelasan yang masuk akal bagi peningkatan kerentanan yang dilaporkan selama beberapa tahun terakhir - dan karena lubang yang dikenal bisa diperbaiki, itu bukan hal yang buruk.
Jadi saya ingin berpikir bahwa hasil tahun Pwn2Own ini adalah 's Egg pendeta - baik di bagian. Setengah dari browser dan setengah dari perangkat mobile pergi unpwned.
Ada juga lapisan perak potensial dalam kegagalan Pwn2Own: dengan software Apple jatuh ke penyerang pada kedua perangkat laptop dan smartphone, mungkin para pengguna Apple yang masih dalam penyangkalan tentang kemungkinan infeksi malware di MacBook kesayangan mereka dan iHardware akan berpikir lagi!
(Shameless plug: jika anda belum memiliki anti-virus pada Mac Anda, dan Pwn2Own membuat Anda berpikir mendapatkan satu, jangan lupa bahwa Sophos memiliki sepenuhnya bebas pengguna rumah versi untuk Mac OS X.)
No comments
Post a Comment