Po raz pierwszy w kilkuletniej historii prestiżowego konkursu Pwn2Own jednym z laureatów został nasz rodak. Mariusz Młyński pokonał przed chwilą zabezpieczenia przeglądarki Firefox i zgarnął nagrodę w wysokości 50 tysięcy dolarów.
Konkurs Pwn2Own pierwszy raz odbył się w roku 2007 na konferencji CanSecWest. W trakcie zorganizowanych do tej pory edycji ofiarami włamywaczy padały już wszystkie przeglądarki oraz ich wtyczki (większość wielokrotnie) oraz część systemów operacyjnych. Z roku na rok sponsorzy, którymi są ZDI oraz Google, fundują coraz większe nagrody. W tym roku pula do zgarnięcia przekroczyła milion dolarów.
Polski akcent w konkursie
W poprzednich siedmiu edycjach nagrody zdobywały tacy badacze jak Charlie Miller, Nils, Pinkie Pie czy członkowie zespołu VUPEN. Nigdy do tej pory w konkursie nie startował pod swoim nazwiskiem żaden Polak. Nie wynika to zapewne z braku umiejętności – Gynvael, j00oru, Adam Gowdiak czy Rafał Wojtczuk zapewne mogli wiele razy wystartować, lecz po prostu wybrali inny sposób publikacji swoich odkryć. W tym roku w szranki stanął Mariusz Młyński, z którego nazwiskiem organizatorzy mieli na początku trochę problemów.
Korekta nazwiska Mariusza
Mariusz zgłosił chęć zaatakowania najnowszej wersji Firefoksa na platformie Windows 8.1 w wersji 64-bitowej. Nagroda przewidziana za udany atak na tę przeglądarkę wynosi 50 tysięcy dolarów. Mariusz zapewne nie przez przypadek wybrał Firefoksa – kilkanaście odkrytych i opublikowanych przez niego błędów wykrytych zostało właśnie w produktach Mozilli. Przed kilkoma minutami organizatorzy ogłosili, że odniósł sukces.
Komunikat o sukcesie Mariusza
Pozostałe nagrody
Inne przeglądarki są wycenione trochę wyżej – zarówno Google Chrome jak i Internet Explorer warte są 100 000 dolarów, a pokonanie Safari powinno przynieść 60 tysięcy. Z kolei Adobe Readera oraz Adobe Flasha wyceniono na 75 000, a Javę na 30 000. Co ciekawe, z atakowania Javy wycofał się VUPEN, który wcześniej zgłosił chęć zaprezentowania działającego exploita na tę wtyczkę. Przewidziano także „nagrodę specjalną” za pokonanie Internet Explorera na Windows 8.1 wyposażonym w system EMET, blokujący większość exploitów. Taki wyczyn oznacza wypłatę 150 tysięcy dolarów, jednak w tej kategorii nie zanotowano żadnych zgłoszeń.
Najwięcej zgłoszeń przesłał zespół VUPEN, który wykorzystuje konkurs do zareklamowania swojej oferty sprzedaży błędów 0day. Poświęcając kilka swoich wynalazków zyskuje światowy rozgłos – do tej pory pokonał Readera i Internet Explorera, a czekają na niego jeszcze Flash, Firefox, Safari oraz Chrome.
Aktualizacja: VUPEN pokonał Firefoksa (dokonał tego także pewien Fin) oraz Flasha i wycofał się z atakowania Safari.
Kontrowersje wzbudziła tegoroczna nowość w postaci konkursu pod hasłem Pwn4Fun, w którym wzięli udział pracownicy sponsorów imprezy, czyli ZDI i Google. Google pokonało zabezpieczenia Safari, a ZDI Internet Explorera, przekazując nagrody na konto kanadyjskiego Czerwonego Krzyża. Czyn w zasadzie chwalebny, pytanie tylko, czy posiadając wiedzę o błędzie typu 0day i chcąc oddać go „za darmo”, nie lepiej od razu przekazać producentowi, by chronić użytkowników? Najwyraźniej Google w tym wypadku było innego zdania.
Mariuszowi gratulujemy wygranej i czekamy na wyniki pozostałych zmagań. Sądząc po dotychczasowych wygląda na to, że jedynym zabezpieczeniem przed nieznanymi jeszcze exploitami jest zmiana nazwy calc.exe…
Komentarze
Application behavior blocking w Sunbelt Personal Firewall pyta czy przeglądarka ma uruchomić inny plik exe.
Nie trzeba żadnych zamulaczy antywirusowych czy zmian nazwy .
Dziwi mnie to, że nie ma już strony z tym programem.
Widocznie zbyt dobrze przeszkadzał konkurencji.
Uruchamianie innego pliku *.exe jest najprostszą demonstracją udanego exploita. Równie dobrze można wykonywalny kod umieścić wewnątrz pamięci przeglądarki i wywołać go bez uruchamiania zewnętrznego pliku wykonywalnego. Takie „zabezpieczenie” można bardzo łatwo obejść, pewnie dlatego już nie istnieje ;)
Jesteśmy dumni z tego, że jednym z laureatów konkursu Pwn2Own został nasz rodak, Mariusz Młyński, który pokonał zabezpieczenia przeglądarki Firefox i otrzymał nagrodę w wysokości 50 tysięcy dolarów! Gratulujemy i życzymy dalszych sukcesów :)
ciekawe co na to polski urzad skarbowy :/
urząd jest dumny i zadowolony. Nie omieszka skontaktować się w tej sprawie z beneficjentem.
„Czyn w zasadzie chwalebny, pytanie tylko, czy posiadając wiedzę o błędzie typu 0day i chcąc oddać go „za darmo”, nie lepiej od razu przekazać producentowi, by chronić użytkowników”
Jak znajdzie Pan 0 day’a to prosze dać przykład i przekazać producentowi.
50k USD to juz od razu w prog 32% Mariusz wpada. Niech chlop placi, w koncu to wyrosl na polskiej piersi, jaka ona by nie byla to splacic dlug jej trzeba. Nie placenie podatkow to jak nie pomaganie wlasnej matce.
@up, 10% ryczałt zenonie i ani grosza więcej….
O jezu człowieku jak słyszę takie teksty to grrrrrrrrrrr
Na jakiej polskiej weź sobie nie pochlebiaj gościu
Na marginesie duże garty dla kolesia mógłby zdradzić rąbka tajemnicy i powiedzieć w jaki sposób szuka tej klasy błędów
Gratulacje, naprawde niesamowite osiagniecie i zasluzona nagroda. Za IE jest 100k ale i tak 90% „znawcow” bedzie plakac jaka to zla i niebezpieczna przegladarka.