pwn

مسابقه Pwn2Own یکی از مسابقاتی است که سالانه برگزار می شود و طی آن نیز هزاران دلار به عنون جایزه به متخصصان امنیتی و در واقع همان هکرها اعطا می شود . این مسابقات سال 2013 در کانادا برگزار شده است و در این مطلب قصد داریم تا شما را در جریان این مسابقه قرار دهیم .

گزارش روز اول

در روز اول این مسابقه همه بزرگان دنیای مرورگرها هک شدند . در واقع سه قربانی اول این مسابقات مرورگرهای کروم شرکت گوگل ، فایرفاکس بنیاد موزیلا و اینترنت اکسپلورر مایکروسافت بودند . البته در بخش سایر نرم افزارها ، جاوا از شرکت اوراکل نیز حضور داشت . جاوایی که روزهای سختی را پشت سر می گذارد و دائما مشکلات امنیتی آن در اینترنت گزارش می شود .

در واقع این شرکت امنیتی فرانسوی VUPEN بود که مرورگرهای اینترنت اکسپلورر 10 ( در ویندوز 8 ) و فایرفاکس 19 ( در ویندوز 7 ) را هک کردند تا بار دیگر قدرت خود را به رخ هکرها بکشند . البته جاوا هم توسط متخصصان امنیتی این شرکت هک شد .

شرکت Vupen در توییتی عنوان کرد که با استفاده از دو آسیب پذیری Zero-day در مرورگر اینترنت اکسپلورر 10 توانسته است کنترل کامل ویندوز 8 موجود روی یک تبلت سرفیس پرو را در اختیار گیرد . در واقع این کار بعد از دور زدن سندباکس ویندوز 8 انجام شده است .

توضیح : آسیب پذیری Zero-day به آسیب پذیری هایی اطلاق می شود که کسی هنوز از وجود آنها اطلاعی ندارد . اما کسانی که به آنها دست پیدا کرده باشند ، می توانند حملات خود را پیاده سازی کنند .

این شرکت در مجددا در توییتی که دو ساعت بعد منتشر کرد به روش هک فایرفاکس نیز اشاره هایی داشت . هک فایرفاکس نیز با استفاده تکنیک جدیدی برای دور زدن ASLR/DEP صورت گرفته است . البته Vupen ادامه می دهد که مشکلات امنیتی را به شرکت های سازنده این نرم افزارها ارائه داده است تا بتوانند از کاربران خود در برابر حملات هکرها محافظت کنند .

اما مرورگر کروم که سال گذشته به دست شرکت Vupen هک شده بود ، امسال به دست متخصصان آزمایشگاه امنیتی MWR هک شده است . در واقع هکرهای وابسته به این آزمایشگاه با دور زدن سندباکس آخرین نسخه مرورگر کروم توانسته اند به آن نفوذ کنند . همه این کارها نیز تنها با استفاده از یک صفحه وب مخرب صورت گرفته است . در واقع در این صفحه وب کدهایی قرار گرفته بود که می توانستند از آسیب پذیری موجود در کروم استفاده کنند . البته آسیب پذیری دیگری نیز در هسته سیستم عامل ویندوز وجود داشته است که در روند هک کردن کروم به کمک متخصصان این آزمایشگاه آمده است .

گزارش روز دوم

اما در روز دوم نیز فلش ، ادوبی ریدر و جاوا هک شدند . شرکت فرانسوی Vupen موفق شد تا فلش را هک کند . هکر معروف جورج هاتز نیز موفق به هک کردن ادوبی ریدر شد و در نهایت آقای بن مورفی نیز توانست ضربه سخت دیگری را به جاوا وارد کرده و دوباره آن را هک کند .

اما شاید جالب تر از همه این بود که مرورگر سافاری شرکت اپل توسط هیچ یک از هکرها و تیم های امنیتی هک نشد . سال گذشته بود که در طی همین مسابقه ، هکرهای شرکت Vupen توانستند در کمتر از 5 ثانیه این مرورگر را هک کنند . اما ظاهرا شرکت اپل برای نسخه جدید مرورگرش تدابیر امنیتی بسیار خوبی اندیشیده است .

شرکت گوگل هم که وعده یک جایزه 3.14 میلیون دلاری را به هکرهای سیستم عامل کروم داده بود ، توانست پولش را پیش خودش نگه دارد . چون هیچ کدام از هکرها نتوانستند به این سیستم عامل مبتنی بر پردازش ابری نفوذ کنند .

در پایان نیز به شرکت ها و یا افرادی که توانسته بودند جاوا را هک کنند 20000 دلار و برای فاتحان ادوبی فلش و ریدر نیز 70000 دلار جایزه در نظر گرفته شد . به صورت کلی نیز در مسابقه امسال 480000 دلار جایزه به هکرهای برنده تعلق گرفت .

همچنین لازم به ذکر است که شرکت های گوگل و موزیلا در آخرین نسخه های مرورگر خود ، تمامی آسیب پذیری های کشف شده در طی این مسابقه را پوشش دادند . پس بروز رسانی مرورگرهای خود را فراموش نکنید .

منابع : 123