في أول يوم لحدث Pwn2Own المنعقد في مدينة فانكوفير – كندا, تمكّن عدّة هاكرز وباحثين أمنيين في مجال الثغرات من اختراق متصفّح انترنت اكسبلورر, فايرفوكس, سفاري وحتى نظام iPhone أما متصفّح كروم فبقي دون اختبار. Pwn2Own هو حدث سنوي لمدة ثلاث أيام من تنظيم TippingPoint في محاولة لاختراق أشهر المتصفحات وأجهزة الموبايلات.

Tipping Point

 

في هذه السنة لحدث Pwn2Own تمكّن Peter Vreugdenhil من اختراق نظام Windows 7 عن طريق متصفح Internet Explorer 8 محدّث لآخر اصدار مع جميع الرقع الأمنية بعد تمكّنه من تخطي تقنيات ASLR و DEP وبذلك يكون خرج من المسابقة مع جهاز Windows 7 ومبلغ 10000$ أما متصفّح Firefox 3 فلقد سقط على يد Nils وهو هاكر ألماني تمكّن من اختراق ويندوز 7 بعد تخطيه تقنيات الحماية السابقة أيضاً وحصل على نفس الجائزة.

لمن لا يعلم ASLR هو اختصار لـ Address Space Layout Randomization أما DEP فهو اختصار لـ Data Execution Prevention وهي تقنيات أضيفت لأنظمة ويندوز هدفها ايقاف استغلال الثغرات لكن الهاكرز والباحثين الأمنيين تمكّنوا من ايجاد طرق تؤدي لتخطي هذه التقنيات وما فعلته هذه التقنيات هو أنها صعّبت مهمة برمجة الاستغلالات لكنها ليست قادرة على ايقافه بشكل كامل.

من الأسماء اللامعة في هذا الحدث هو Charlie Miller الذي تمكّن للمرة الثالثة على التوالي من اختراق متصفح سفاري يعمل على نظام MacOS X Snow Leopard وجهاز MacBook Pro خلال بضعة ثوان فقط! وبذلك يكون قد فاز هو أيضاً بالجهاز الذي اخترقه ومبلغ 10000$.

يضاف الى اختراق المتصفحات السابقة تمكّن Vincenzo Iozzo و Ralf Philipp Weinmann من اختراق موبايل iPhone خلال خمس دقائق فقط عن طريق متصفح سفاري المستخدم حيث قاما باستخدام استغلال يقوم بتشغيل برنامج ينسخ الرسائل الموجودة في الموبايل وارسالها لسيرفر خاص وفازا بالنهاية بمبلغ 15000$.

أما بالنسبة لمتصفّح كروم فلم يتم محاولة اختراقه في اليوم الأول وبذلك يكون المتصفح الوحيد الصامد حتى الآن أما متصفّح أوبرا فهو ليس من ضمن المتصفحات المستهدفة في هذا الحدث. ويبقى على المتسابقين اختراق جهاز RIM Blackberry و Nokia E72 يعمل بنظام سيمبيان بالاضافة الى HTC Nexus One الذي يعمل بنظام Android.

يحصل الرابحين أيضاً على نقاط مجّانية من ZDI بالاضافة لدفع تكاليف التسجيل والسفر لمؤتمر Defcon 2011 الذي سينعقد في Las Vegas على أن يتم اطلاع ZDI على الثغرات المكتشفة والاستغلالات والتي ستقوم بدورها بمراسلة الشركات المنتجة للمتصفحات دون نشرها بشكل علني.

 

يمكن متابعة صفحة حدث Pwn2Own 2010 لمزيد من التفاصيل والتحديثات الأخرى بالاضافة لحساب تويتر @TheZDI حيث يجري حالياً التحضير لليوم الثاني وستستهدف الاختراقات هذه المرة نفس المتصفحات السابقة لكن على نظام Windows VISTA يليه في اليوم الثالث نظام Windows XP.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn