12.03.2014 | 23:12

Adam Haertle

Polak laureatem konkursu Pwn2Own, pokonał Firefoksa

Po raz pierwszy w kilkuletniej historii prestiżowego konkursu Pwn2Own jednym z laureatów został nasz rodak. Mariusz Młyński pokonał przed chwilą zabezpieczenia przeglądarki Firefox i zgarnął nagrodę w wysokości 50 tysięcy dolarów.

Konkurs Pwn2Own pierwszy raz odbył się w roku 2007 na konferencji CanSecWest. W trakcie zorganizowanych do tej pory edycji ofiarami włamywaczy padały już wszystkie przeglądarki oraz ich wtyczki (większość wielokrotnie) oraz część systemów operacyjnych. Z roku na rok sponsorzy, którymi są ZDI oraz Google, fundują coraz większe nagrody. W tym roku pula do zgarnięcia przekroczyła milion dolarów.

Polski akcent w konkursie

W poprzednich siedmiu edycjach nagrody zdobywały tacy badacze jak Charlie Miller, Nils, Pinkie Pie czy członkowie zespołu VUPEN. Nigdy do tej pory w konkursie nie startował pod swoim nazwiskiem żaden Polak. Nie wynika to zapewne z braku umiejętności – Gynvael, j00oru, Adam Gowdiak czy Rafał Wojtczuk zapewne mogli wiele razy wystartować, lecz po prostu wybrali inny sposób publikacji swoich odkryć. W tym roku w szranki stanął Mariusz Młyński, z którego nazwiskiem organizatorzy mieli na początku trochę problemów.

Korekta nazwiska Mariusza

Korekta nazwiska Mariusza

Mariusz zgłosił chęć zaatakowania najnowszej wersji Firefoksa na platformie Windows 8.1 w wersji 64-bitowej. Nagroda przewidziana za udany atak na tę przeglądarkę wynosi 50 tysięcy dolarów. Mariusz zapewne nie przez przypadek wybrał Firefoksa – kilkanaście odkrytych i opublikowanych przez niego błędów wykrytych zostało właśnie w produktach Mozilli. Przed kilkoma minutami organizatorzy ogłosili, że odniósł sukces.

Komunikat o sukcesie Mateusza

Komunikat o sukcesie Mariusza

Pozostałe nagrody

Inne przeglądarki są wycenione trochę wyżej – zarówno Google Chrome jak i Internet Explorer warte są 100 000 dolarów, a pokonanie Safari powinno przynieść 60 tysięcy. Z kolei Adobe Readera oraz Adobe Flasha wyceniono na 75 000, a Javę na 30 000. Co ciekawe, z atakowania Javy wycofał się VUPEN, który wcześniej zgłosił chęć zaprezentowania działającego exploita na tę wtyczkę. Przewidziano także „nagrodę specjalną” za pokonanie Internet Explorera na Windows 8.1 wyposażonym w system EMET, blokujący większość exploitów. Taki wyczyn oznacza wypłatę 150 tysięcy dolarów, jednak w tej kategorii nie zanotowano żadnych zgłoszeń.

Najwięcej zgłoszeń przesłał zespół VUPEN, który wykorzystuje konkurs do zareklamowania swojej oferty sprzedaży błędów 0day. Poświęcając kilka swoich wynalazków zyskuje światowy rozgłos – do tej pory pokonał Readera i Internet Explorera, a czekają na niego jeszcze Flash, Firefox, Safari oraz Chrome.

Aktualizacja: VUPEN pokonał Firefoksa (dokonał tego także pewien Fin) oraz Flasha i wycofał się z atakowania Safari.

Kontrowersje wzbudziła tegoroczna nowość w postaci konkursu pod hasłem Pwn4Fun, w którym wzięli udział pracownicy sponsorów imprezy, czyli ZDI i Google. Google pokonało zabezpieczenia Safari, a ZDI Internet Explorera, przekazując nagrody na konto kanadyjskiego Czerwonego Krzyża. Czyn w zasadzie chwalebny, pytanie tylko, czy posiadając wiedzę o błędzie typu 0day i chcąc oddać go „za darmo”, nie lepiej od razu przekazać producentowi, by chronić użytkowników? Najwyraźniej Google w tym wypadku było innego zdania.

Mariuszowi gratulujemy wygranej i czekamy na wyniki pozostałych zmagań. Sądząc po dotychczasowych wygląda na to, że jedynym zabezpieczeniem przed nieznanymi jeszcze exploitami jest zmiana nazwy calc.exe…

Powrót

Komentarze

  • 2014.03.13 00:15 4444.

    Application behavior blocking w Sunbelt Personal Firewall pyta czy przeglądarka ma uruchomić inny plik exe.
    Nie trzeba żadnych zamulaczy antywirusowych czy zmian nazwy .
    Dziwi mnie to, że nie ma już strony z tym programem.
    Widocznie zbyt dobrze przeszkadzał konkurencji.

    Odpowiedz
    • 2014.03.13 10:23 Maciek

      Uruchamianie innego pliku *.exe jest najprostszą demonstracją udanego exploita. Równie dobrze można wykonywalny kod umieścić wewnątrz pamięci przeglądarki i wywołać go bez uruchamiania zewnętrznego pliku wykonywalnego. Takie „zabezpieczenie” można bardzo łatwo obejść, pewnie dlatego już nie istnieje ;)

      Odpowiedz
  • 2014.03.13 11:12 Cal.pl

    Jesteśmy dumni z tego, że jednym z laureatów konkursu Pwn2Own został nasz rodak, Mariusz Młyński, który pokonał zabezpieczenia przeglądarki Firefox i otrzymał nagrodę w wysokości 50 tysięcy dolarów! Gratulujemy i życzymy dalszych sukcesów :)

    Odpowiedz
  • 2014.03.13 12:19 donaldo task

    ciekawe co na to polski urzad skarbowy :/

    Odpowiedz
    • 2014.03.13 14:28 gustlik

      urząd jest dumny i zadowolony. Nie omieszka skontaktować się w tej sprawie z beneficjentem.

      Odpowiedz
  • 2014.03.13 18:12 jemkupe

    „Czyn w zasadzie chwalebny, pytanie tylko, czy posiadając wiedzę o błędzie typu 0day i chcąc oddać go „za darmo”, nie lepiej od razu przekazać producentowi, by chronić użytkowników”

    Jak znajdzie Pan 0 day’a to prosze dać przykład i przekazać producentowi.

    Odpowiedz
  • 2014.03.13 18:56 zenon polaczek

    50k USD to juz od razu w prog 32% Mariusz wpada. Niech chlop placi, w koncu to wyrosl na polskiej piersi, jaka ona by nie byla to splacic dlug jej trzeba. Nie placenie podatkow to jak nie pomaganie wlasnej matce.

    Odpowiedz
    • 2014.03.14 19:58 neon kabaczek

      @up, 10% ryczałt zenonie i ani grosza więcej….

      Odpowiedz
    • 2014.03.23 12:12 Zenon

      O jezu człowieku jak słyszę takie teksty to grrrrrrrrrrr
      Na jakiej polskiej weź sobie nie pochlebiaj gościu
      Na marginesie duże garty dla kolesia mógłby zdradzić rąbka tajemnicy i powiedzieć w jaki sposób szuka tej klasy błędów

      Odpowiedz
  • 2014.03.14 18:54 duraven

    Gratulacje, naprawde niesamowite osiagniecie i zasluzona nagroda. Za IE jest 100k ale i tak 90% „znawcow” bedzie plakac jaka to zla i niebezpieczna przegladarka.

    Odpowiedz

Zostaw odpowiedź do 4444.

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polak laureatem konkursu Pwn2Own, pokonał Firefoksa

Komentarze