درس‌هایی از مسابقه امنیتی Pwn2Own

در مسابقه هک Pwn2Own امسال، محققان و متخصصان امنیت و هکرهای شرکت کننده با سرعتی کم نظیر ۳ مرورگر اصلی دنیای وب را هک کردند و از طریق آنها هدایت سیستم های عاملی را که این مرورگرها روی آنها نصب شده بودند، در دست گرفتند. این مسابقات هر ساله به عنوان یکی از بخش های کنفرانس امنیتی CanSecWest در ونکوور کانادا برگزار می شوند. در هر بخش این مسابقه برنده، اولین نفری است که بتواند از طریق شبکه یا اینترنت به سیستم مورد نظر نفوذ کرده و یک کد تعیین شده را بر روی آن اجرا کند.

یک هکر آلمانی که نام Nils را برای خود انتخاب کرده بود، از یک نقطه آسیب پذیر ناشناخته در فایرفاکس شرکت موزیلا استفاده کرد و به راحتی کنترل کامپیوتر میزبان با سیستم عامل ویندوز هفت ۶۴ بیتی را در دست گرفت.
Peter Vreugdenhil به عنوان یک محقق مستقل از هلند در این مسابقه شرکت کرده بود، توانست با استفاده از چندین باگ امنیتی موجود در اینترنت اکسپلورر ۸ شرکت مایکروسافت تنها ظرف ۲ دقیقه سیستمی را که مجهز به ویندوز هفت ۶۴ بیتی بود، هک کرده و در اختیار بگیرد.
چارلی میلر هم با استفاده از پاشنه آشیل سافاری توانست بر یک مک بوک شرکت اپل تسلط یابد و آن را تصاحب کند.
از دیگر مغلوبین این کارزار می‌توان به iPhone 3GS کاملاً آپدیت شرکت اپل اشاره کرد، که به راحتی هک شده و بانک اطلاعاتی پیام‌های کوتاه (SMS) آن به سرقت رفت.

به هر یک از برندگان این مسابقه چکی به مبلغ ۱۰ هزار دلار به عنوان جایزه اهدا شد. همچنین این برندگان دستگاه هایی را که هک کرده بودند با خود به عنوان هدیه به خانه بردند.
البته این افراد با شرکت در این مسابقه پذیرفته اند که حقوق قانونی و تمامی جزئیات روشهایی را که در این مسابقه استفاده می کنند را در اختیار شرکت ZDI قرار دهند، که حامی مالی این مسابقات بوده.

این سری مسابقات یکی از بهترین برنامه های موجود برای مقابله با خطرات امنیتی است که توجه هکر ها و محققان را از سراسر دنیا به مشکلات امنیتی و نقاط آسیب پذیر ابزارهای دیجیتال جذب می کند، ولی هیچ کس حساب بانکی یا کارت اعتباری و یا اطلاعات حیاتی اش را از دست نخواهد داد.

نکته قابل توجه مسابقه امسال این بود که مشخص شد، تقریبا تمامی مرورگرهای مشهور نقاط آسیب‌پذیری دارند که می تواند توسط افراد و سایت های خرابکار مورد استفاده قرار گرفته و منجر به تصاحب کامل سیستم عامل قربانی شوند. پس حتما همیشه گوش به زنگ به روز رسانی های مرورگرهای تان باشید تا بتوانید جان سالم به در ببرید.

ویندوز استفاده شده در این مسابقه یک سیستم عامل کاملاً أپدیت بود که تمام پچ های امنیتی جدید هم روی آن نصب شده بود! اما نکته جالب‌تر این مسابقات هک شدن سیستم عامل Mac OS X شرکت اپل بود، که همیشه در خصوص امنیت آن مبالغه می شود.

شاید دلیل اینکه ویروس و بدافزار زیادی برای مک وجود ندارد، امنیت بیشتر آن نسبت به ویندوز نباشد. بلکه سیستم عاملی مانند ویندوز با در دست داشتن ۹۲ درصد بازار دنیا، چنان اغوا کننده است که هکر ها و برنامه نویسان مجالی برای پرداختن به سیستم عاملی مانند Mac OS X نمی یابند. و البته تنها لینوکس اوبونتو بود که در این رقابت جان سالم به در برد و هکرهای سمج راهی برای نفوذ به آن نیافتند. که آن هم گفته می شود به دلیل کمبود وقت بوده است و با کمی زمان و خوش شانسی، هکرهای محترم دخل این یکی را هم می‌آورند! البته مرورگر کروم گوگل هم دیگر نجات یافته این کارزار بوده است.

مسابقه به روز رسانی شرکت های سازنده مرورگر

شرکت ZDI همیشه پس از اتمام مسابقات، اطلاعات آن را در اختیار شرکت هایی که محصولات شان هک شده اند قرار می دهد. به همین دلیل است که می بینیم در فاصله ای کمتر از ۲ هفته بعد از این مسابقه شرکت های اپل، مایکروسافت و موزیلا اقدام به ارائه بسته های به روز رسانی امنیتی نموده اند. البته بابت این سرعت عمل باید ممنون هکرهایی باشیم که با تمام قوا به دنبال دست یابی به این سوراخ‌ها هستند و شرکت های نرم افزاری را مجبور به تلاش برای ادامه بقا می نمایند.

شرکت موزیلا برای این به روز رسانی نسخه مرورگر مشهور خود را به ۳.۶.۳ ارتقاء داد و مایکروسافت هم به همراه بسته امنیتی خود یکی از باگ های قدیمی اینترنت اکسپلورر را نیز رفع نمود. شرکت اپل هم از بقیه زرنگ‌تر بود و وقت را غنیمت شمرد. آنها با ارائه یک بسته به روز رسانی ۵۷۰ مگابایتی علاوه بر حل مشکلی که به تازگی کشف شده است، برخی موارد دیگر را هم به سیستم عامل خود افزوند و مک او ایکس را به نسخه ۳.۶.۱۰ ارتقا دادند. در سایت اپل (http://support.apple.com/kb/HT4077) می توانید اطلاعات بیشتری در این مورد بیابید.

بنابراین اگر تا به حال مرورگرهای خودتان را ارتقا نداده‌اید وقت آن است که فوراً آپدیت های جدید را روی آن نصب کنید.