Озвучены результаты ежегодного конкурса Pwn2Own

07 Апрель 2014

В рамках ежегодного конкурса Pwn2Own, прошедшего в канадском Ванкувере в предыдущем месяце, браузер Mozilla Firefox зарекомендовал себя наименее устойчивым к хакерским атакам на фоне своих конкурентов. В то же время, ни один из популярнейших веб-обозревателей мира не устоял перед атакой хакеров: разного рода уязвимости были найдены в Google Chrome, Apple Safari, Mozilla Firefox, и Internet Explorer. Но обозреватель от Mozilla оказался наименее устойчивым, так как в рамках конкурса Pwn2Own хакеры обнаружили в нем сразу четыре уязвимости «нулевого дня» (такого рода уязвимостями называют те ошибки в программах, о которых широкая общественность узнает раньше фактического выхода исправлений для них).

Впрочем, если проанализировать по предыдущим конкурсам Pwn2Own, то Mozilla Firefox редко когда отличался высокой безопасностью. С момента проведения первого конкурса в 2007 году, его формат ежегодно менялся (добавлялись новые платформы, вводились новые правила и изменялись направления хакерских атак). В тех или иных формах Firefox принимал участие в Pwn2Own с 2009 года. Его не взломали лишь единожды – в 2011 году. Начиная с 2012 года хакеры-участники Pwn2Own начали оперировать все более и более хитрыми способами взлома, что позволило им обнаруживать хотя бы по одной уязвимости нулевого дня во всех популярнейших браузерах. Однако тот факт, что в течение двух дней конкурса в Firefox обнаружили сразу четыре уязвимости, действительно впечатляет.

Низкий уровень безопасности браузера Firefox отчасти связан с отсутствием в нем так называемого «Режима песочницы». В теории этот режим предоставляет инструментарий для запуска сторонних приложений в безопасной среде. Такого рода «песочница» есть в Safari, Chrome и даже новой версии Internet Explorer, а вот в Firefox ее нет. Поэтому нашедший в этом браузере уязвимость хакер, без проблем может получить через него полный доступ к компьютеру жертвы.

Конкурс Pwn2Own основала американская компания Hewlett-Packard. Формат конкурса подразумевает предоставление участникам своих программных продуктов на тестирование в «полевых условиях», когда их системы безопасности подвергаются жесткому испытанию на устойчивость перед хакерскими атаками. Проект фактически покупает у добросовестных хакеров сведения о том, как используя найденные уязвимости можно взломать пользовательскую машину. Начиная с 2013 года сведения о всех обнаруженных уязвимостях сразу же сообщаются разработчикам веб-браузеров, которые выпускают на основании полученной информации так называемые «заплатки».

Неумолимая статистика служит хорошим напоминанием того, что браузер Firefox нельзя считать оптимальным выбором, когда для пользователя принципиальна безопасность серфинга в условиях современной Сети.

Что касается отсутствия в браузере Firefox режима песочницы, то это является следствием отсутствия необходимости в таком функционале во времена, когда браузер еще только начинал разрабатываться. В свою очередь, Chrome изначально создавался с упором на скорость и безопасность. После полного «капитального ремонта» своего барузера IE9 компания Microsoft смогла добавить в него «песочницу» и множество других современных функций. Но у компании Mozilla с этим режимом возникло больше всего проблем, так как его платформа изначально исключает всякую возможность наличия «песочницы».

В течение двух дней конкурса Pwn2Own 2014 победители разделили между собой призовой фонд в размере 850 000 долл. В общей сложности они выявили 12 уязвимостей «нулевого дня» в шести представленных программах: Mozilla Firefox с четырьмя уязвимостями; Internet Explorer с двумя уязвимостями; Google Chrome с двумя уязвимостями; Apple Safari с одной уязвимостью; Adobe Flash с двумя уязвимостями; Adobe Rader с одной уязвимостью.

Как и в предыдущие три года, лучшие результаты показала команда VUPEN Security, заработавшая за два дня 400 000 долл.