Safari opět padne na hackerské soutěži jako první

Prohlašuje to alespoň pořadatel hackerské soutěže Pwn2Own, Aaron Portnoy. Vítěz posledních dvou ročníků si však tak jistý není. Jak si tedy Safari povede v konkurenci ostatních prohlížečů?

Webový prohlížeč Apple Safari bude prvním, který padne v hackerské soutěži Pwn2Own, která se uskuteční příští měsíc. Předpovídají to její pořadatelé.

„Safari bude první, kdo padne“, prohlašuje Aaron Portnoy, vedoucí bezpečnostního vývojového týmu společnosti 3Com, která je současně sponzorem celé akce a Portnoy patří k pořadatelům.

„Safari bude nainstalován na Snow Leopardu, který není na stejné bezpečnostní úrovni, jako Windows 7“ dodává Portnoy na vysvětlení, proč předpokládá pokoření Safari hned v prvním dnu akce Pwn2Own, která začíná 24 března.

V posledních čtyřech letech konání této soutěže se vždy podařilo pokořit bezpečnost Mac OS X a Safari, ovšem stejně, jako Windows od Microsoftu i jejich webového prohlížeče Internet Explorer.

V roce 2009 dokonce jeden z účastníků, Charlie Miller, napadl Mac v méně než pěti sekundách prostřednictvím chyby v Safari a získal tak hlavní cenu v podobě 5 000 amerických dolarů. Jiný z účastníků pak úspěšně napadnul tři prohlížeče běžící na Windows a přišel si tak na 15 000 dolarů.

Miller, který pracuje jako nezávislý bezpečnostní poradce, opět pomýšlí na vítězství v soutěži a doufá, že bude úspěšný již potřetí v řadě – v roce 2008 totiž získal deset tisíc dolarů za úspěšné napadnutí MacBook Air za méně než dvě minuty, opět prostřednictvím chyby v prohlížeči Safari.

Vítěz předchozích dvou ročníků Pwn2Own, Charlie Miller

Ale na rozdíl od Portnoye si není jistý, že jako první padne právě Safari. „Na rozdíl od předchozích let není Safari výrazně snadněji zranitelná, než konkurenční prohlížeče na Windows“, řekl Miller v emailové odpovědi magazínu Computeworld na dotaz ohledně jeho názoru na vyjádření pořadatelů.

„Myslím si to především proto, že Snow Leopard již konečně obsahuje ochranu DEP (Data Execution Prevention). Navíc Dion Blazakis před nedávnem ukázal, jak obejít DEP ochranu ve Windows prohlížečích, proto bude tato chyba jednou z prvních, která přijde na řadu. Jediným rozdílem je, že Safari poskytuje mnohem větší prostor pro napadnutí, protože obsahuje daleko větší množství komponent, jako je například Flash nebo PDF prohlížeč.“, dodává Miller.

V loňském ročníku soutěže Pwn2Own se podařilo úspěšně zaútočit na Safari, Firefox i Internet Explorer, pouze Chrome od Googlu zůstal nepokořen.

Miller si přesto myslí, že se podaří Safari úspěšně napadnout a celkem prý účastníci mohou pokořit dva až tři z použitých prohlížečů.

Jak probíhá soutěž Pwn2Own

Soutěžící budou mít k dispozici poslední verze prohlížečů Chrome, Firefox a Internet Explorer 8 v prostředí operačního systému Windows 7 a Safari v poslední verzi Mac OS X 10.6 Snow Leopard. Bezpečnostní prvky všech systémů budou ponechány ve výchozím nastavení.

Pokud se podaří prolomit některý z prohlížečů hned v prvním dnu soutěže, obdrží dotyčný útočník cenu 10 000 amerických dolarů a prohlížeč bude vyřazen ze soutěže. Nepokořené prohlížeče postoupí do druhého dne, budou však nainstalovány na předchozí verzi Windows Vista (Safari stále zůstane na Snow Leopardu). Prohlížeč, který odolá, bude třetí den nainstalován na stařičká Windows XP