Acımadılar, hepsini tek tek hack'lediler!
Firefox, Internet Explorer, iPhone ve Safari'yi sıraya dizdiler, tek tek hack'lediler...
Yıllık geleneksel Pwn2Own yarışması bu yıl da başarıyla düzenlendi ve pek çok ürün bu yarışmada hacklendi.
Mozilla Firefox, Microsoft Internet Explorer, Apple Safari ve iPhone gibi milyonların kullandığı ürünler, yarışmanın bir parçası olarak hızla çökertildi, ele geçirildi ve yarışmacılara puan kazandırdı.
Özellikle Safari, her yıl olduğu gibi bu yıl da açıklarla doluydu ve hackerlar için bu tarayıcıyı hacklemek çocuk oyuncağı gibiydi.
İşin ucunda para ödülü olduğu için kullanılan yöntemler de pek ortalıkta dolaşmayan açıklardan yararlanıyordu. En son güvenlik sistemleri bütün bu uygulamalarda başarıyla aşıldı.
Hackerlar Apple'ın korumalarıyla dalga geçerek bunların koruma amaçlı değil, kullanıcıları kısıtlama amaçlı olduğunu söylediler.
SMS'leri bile okudular!
Aslında Apple'ın koruma sistemi o kadar da kolay değil ama hackerlar ne yaptıklarını iyi biliyor.
Zynamics'te güvenlik araştırmacısı olan Halvar Flake, iPhone'u kırmak için iş ortağı Vincenzo Iozzo'nun yazdığı açık kodlarından yararlandı. Luxemburg Üniversitesi öğrencisi Ralp Phillip Weinmann'ın çalışmalarından da iPHone hackinde yararlanıldı.
Sonuçta iPhone'un uygulama çalıştırmak için istediği geçerli imza aşıldı. Oluşturulan siteyi iPhone'la ziyaret edenlerin SMS'lerini kopyalamak mümkün. Bütün mesajlar, bağlantılar ve hatta slinmiş mesajlar bile okundu!
Bu hackerlar çok ustaydı, güvenlik uzmanlarının kırılması en zor, en güvenli dediği Microsoft'un DEP ve ASLR koruma sistemleri bile uzman güvenlik araştırmacısı hackerlar tarafından aşıldı.
Toplam 100.000 dolar ödül
Vreugdenhill Research Windows 7 ve IE8 kurulu bir dizüstünü ele geçirmeyi başardı. Bu kombinasyon beyaz şapkalı hackerların kırılması en zor dedikleri kombinasyonlardan birisiydi; çünkü DEP ve ASLR, IE8'de açık olsa bile IE8'in ele geçirilmesini engelliyor.
Adobe Flash ve 3. parti yazılım teknikleri kullanılmadı, hafızanın yeri, onu kullanan bir uygulama modülünün yeniden kullanılması ve yoğun uğraş sonucu tespit edilip ele geçirilebildi. Hacker bu açığın her zaman kullanılmasının mümkün olmadığını belirtti.
Bu esnada olayı izleyen Microsoft mühendislerinin harıl harıl not aldıklarını ve açıkları kapamak için çalışmaya başladığını da belirtmek gerekiyor. Aynı yöntemlerin kullanımlası ileride engellenecek.
Firefox da ağır bir darbe aldı ve geçen yılın tarayıcı katili hacker, Firefox'un korumalarını başarıyla aştı. İsminin açıklanmasını istemeyen 26 yaşındaki hacker, İngiltere'deki bir güvenlik danışmanlık şirketinde araştırmaların lideri.
Safari'nin acı sonu, ama bu kaçıncı?
Bu hack yarışmasının artık maskotu durumuna düşen ise Safari internet tarayıcı oldu.
36 yaşındaki Charlie Miller, bu yıl yarışmaya her durumda tarayıcıyı ele geçirmesini sağlayan 20'ye yakın saldırı metoduyla geldiğini açıkladı. Mac üzerinde Safari'nin hiç şansı yok.
Üstelik bu açıkların hepsini aynı 5 satırlık Python kodunu kullanarak arayıp bulduğunu söyledi. Ertesi gün tek tek bunları açıklayarak Apple'ın onarması için bilgi sunacağını belirtti. Ama esas isteği, bildirilen hataların düzeltilmesi değil, artık Apple'dakilerin balık tutmayı öğrenmesi ve açık tespit mekanizmalarını geliştirmesi.
Sonuçta iPhone hack'i 15.000 dolarla ve tarayıcı hackleri de tanesi 10.000 dolardan ödüllendirildi.