12.03.2014 | 23:12

Adam Haertle

Polak laureatem konkursu Pwn2Own, pokonał Firefoksa

Po raz pierwszy w kilkuletniej historii prestiżowego konkursu Pwn2Own jednym z laureatów został nasz rodak. Mariusz Młyński pokonał przed chwilą zabezpieczenia przeglądarki Firefox i zgarnął nagrodę w wysokości 50 tysięcy dolarów.

Konkurs Pwn2Own pierwszy raz odbył się w roku 2007 na konferencji CanSecWest. W trakcie zorganizowanych do tej pory edycji ofiarami włamywaczy padały już wszystkie przeglądarki oraz ich wtyczki (większość wielokrotnie) oraz część systemów operacyjnych. Z roku na rok sponsorzy, którymi są ZDI oraz Google, fundują coraz większe nagrody. W tym roku pula do zgarnięcia przekroczyła milion dolarów.

Polski akcent w konkursie

W poprzednich siedmiu edycjach nagrody zdobywały tacy badacze jak Charlie Miller, Nils, Pinkie Pie czy członkowie zespołu VUPEN. Nigdy do tej pory w konkursie nie startował pod swoim nazwiskiem żaden Polak. Nie wynika to zapewne z braku umiejętności – Gynvael, j00oru, Adam Gowdiak czy Rafał Wojtczuk zapewne mogli wiele razy wystartować, lecz po prostu wybrali inny sposób publikacji swoich odkryć. W tym roku w szranki stanął Mariusz Młyński, z którego nazwiskiem organizatorzy mieli na początku trochę problemów.

Korekta nazwiska Mariusza

Korekta nazwiska Mariusza

Mariusz zgłosił chęć zaatakowania najnowszej wersji Firefoksa na platformie Windows 8.1 w wersji 64-bitowej. Nagroda przewidziana za udany atak na tę przeglądarkę wynosi 50 tysięcy dolarów. Mariusz zapewne nie przez przypadek wybrał Firefoksa – kilkanaście odkrytych i opublikowanych przez niego błędów wykrytych zostało właśnie w produktach Mozilli. Przed kilkoma minutami organizatorzy ogłosili, że odniósł sukces.

Komunikat o sukcesie Mateusza

Komunikat o sukcesie Mariusza

Pozostałe nagrody

Inne przeglądarki są wycenione trochę wyżej – zarówno Google Chrome jak i Internet Explorer warte są 100 000 dolarów, a pokonanie Safari powinno przynieść 60 tysięcy. Z kolei Adobe Readera oraz Adobe Flasha wyceniono na 75 000, a Javę na 30 000. Co ciekawe, z atakowania Javy wycofał się VUPEN, który wcześniej zgłosił chęć zaprezentowania działającego exploita na tę wtyczkę. Przewidziano także „nagrodę specjalną” za pokonanie Internet Explorera na Windows 8.1 wyposażonym w system EMET, blokujący większość exploitów. Taki wyczyn oznacza wypłatę 150 tysięcy dolarów, jednak w tej kategorii nie zanotowano żadnych zgłoszeń.

Najwięcej zgłoszeń przesłał zespół VUPEN, który wykorzystuje konkurs do zareklamowania swojej oferty sprzedaży błędów 0day. Poświęcając kilka swoich wynalazków zyskuje światowy rozgłos – do tej pory pokonał Readera i Internet Explorera, a czekają na niego jeszcze Flash, Firefox, Safari oraz Chrome.

Aktualizacja: VUPEN pokonał Firefoksa (dokonał tego także pewien Fin) oraz Flasha i wycofał się z atakowania Safari.

Kontrowersje wzbudziła tegoroczna nowość w postaci konkursu pod hasłem Pwn4Fun, w którym wzięli udział pracownicy sponsorów imprezy, czyli ZDI i Google. Google pokonało zabezpieczenia Safari, a ZDI Internet Explorera, przekazując nagrody na konto kanadyjskiego Czerwonego Krzyża. Czyn w zasadzie chwalebny, pytanie tylko, czy posiadając wiedzę o błędzie typu 0day i chcąc oddać go „za darmo”, nie lepiej od razu przekazać producentowi, by chronić użytkowników? Najwyraźniej Google w tym wypadku było innego zdania.

Mariuszowi gratulujemy wygranej i czekamy na wyniki pozostałych zmagań. Sądząc po dotychczasowych wygląda na to, że jedynym zabezpieczeniem przed nieznanymi jeszcze exploitami jest zmiana nazwy calc.exe…

Powrót

Komentarze

  • 2014.03.13 00:15 4444.

    Application behavior blocking w Sunbelt Personal Firewall pyta czy przeglądarka ma uruchomić inny plik exe.
    Nie trzeba żadnych zamulaczy antywirusowych czy zmian nazwy .
    Dziwi mnie to, że nie ma już strony z tym programem.
    Widocznie zbyt dobrze przeszkadzał konkurencji.

    Odpowiedz
    • 2014.03.13 10:23 Maciek

      Uruchamianie innego pliku *.exe jest najprostszą demonstracją udanego exploita. Równie dobrze można wykonywalny kod umieścić wewnątrz pamięci przeglądarki i wywołać go bez uruchamiania zewnętrznego pliku wykonywalnego. Takie „zabezpieczenie” można bardzo łatwo obejść, pewnie dlatego już nie istnieje ;)

      Odpowiedz
  • 2014.03.13 11:12 Cal.pl

    Jesteśmy dumni z tego, że jednym z laureatów konkursu Pwn2Own został nasz rodak, Mariusz Młyński, który pokonał zabezpieczenia przeglądarki Firefox i otrzymał nagrodę w wysokości 50 tysięcy dolarów! Gratulujemy i życzymy dalszych sukcesów :)

    Odpowiedz
  • 2014.03.13 12:19 donaldo task

    ciekawe co na to polski urzad skarbowy :/

    Odpowiedz
    • 2014.03.13 14:28 gustlik

      urząd jest dumny i zadowolony. Nie omieszka skontaktować się w tej sprawie z beneficjentem.

      Odpowiedz
  • 2014.03.13 18:12 jemkupe

    „Czyn w zasadzie chwalebny, pytanie tylko, czy posiadając wiedzę o błędzie typu 0day i chcąc oddać go „za darmo”, nie lepiej od razu przekazać producentowi, by chronić użytkowników”

    Jak znajdzie Pan 0 day’a to prosze dać przykład i przekazać producentowi.

    Odpowiedz
  • 2014.03.13 18:56 zenon polaczek

    50k USD to juz od razu w prog 32% Mariusz wpada. Niech chlop placi, w koncu to wyrosl na polskiej piersi, jaka ona by nie byla to splacic dlug jej trzeba. Nie placenie podatkow to jak nie pomaganie wlasnej matce.

    Odpowiedz
    • 2014.03.14 19:58 neon kabaczek

      @up, 10% ryczałt zenonie i ani grosza więcej….

      Odpowiedz
    • 2014.03.23 12:12 Zenon

      O jezu człowieku jak słyszę takie teksty to grrrrrrrrrrr
      Na jakiej polskiej weź sobie nie pochlebiaj gościu
      Na marginesie duże garty dla kolesia mógłby zdradzić rąbka tajemnicy i powiedzieć w jaki sposób szuka tej klasy błędów

      Odpowiedz
  • 2014.03.14 18:54 duraven

    Gratulacje, naprawde niesamowite osiagniecie i zasluzona nagroda. Za IE jest 100k ale i tak 90% „znawcow” bedzie plakac jaka to zla i niebezpieczna przegladarka.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polak laureatem konkursu Pwn2Own, pokonał Firefoksa

Komentarze