איזה דפדפן הכי בטוח? Pwn2Own 2015

כמידי שנה נערכה גם הפעם תחרות ההאקינג בה נבדקה בין היתר עמידותן של הדפדפנים הפופולארים בשוק. לרוע המזל, אף אחד מהם לא נשאר חסין בפני ההאקרים

crash

מקור: Jeshu John

במסגרת תחרות ההאקינג Pwn2Own 2015 שהתקיימה בסוף השבוע האחרון בוונקובר, בריטיש קולומביה, הצליחו חוקרי אבטחה לפרוץ לכל ארבעת הדפדפנים המובילים בשוק: כרום, פיירפוקס, אינטרנט אקספלורר וספארי. הייתם מצפים כי החברות השונות מאחורי הדפדפנים יקחו מעט אחריות ויעשו משהו, שכן אין זו השנה הראשונה בה אלו נפרצים ׳בהצלחה׳, אך כנראה שאין דבר העומד בפני הרצון של אותם משתתפים, שהתחרו על פרסים בשווי כולל של 557,500 דולר.

ההאקר שהרוויח 916 דולר בשנייה

פעם נוספת היו אלה ההאקרים שזכו בתחרות Pwn2Own; מעבר לכבוד שבזכייה ובמחשב עצמו אותו פרצו, המנצחים יהנו מפרס כספי בשווי של עשרות אלפי דולרים. יונג הון לי, חוקר אבטחה דרום קוריאני, חזר מהתחרות מאושר ומעושר במיוחד עם 225,000 דולר שהתווספו לחשבון הבנק שלו בתוך יום עבודה אחד בלבד. לי הצליח לפרוץ לאינטרנט אקספלורר 11, גוגל כרום וספארי של אפל, נתון מרשים במיוחד בהתחשב בכך שעשה זאת לבדו ולא כחלק מקבוצה. בתגובה לביצועיו של לי אמרו מארגני האירוע כי ״יש מקרים שבהם ׳וואו׳ זה פשוט לא מספיק״.

שתי קבוצות שהשתתפו: Team 509 ו-KeenTeam פתחו את התחרות באמצעות פגיעה ב-Adobe Flash, אשר בסופה הצליחו לסדוק את המערכת ולבסוף להוביל להכחדתה המלאה, מה שזיכה אותם סה״כ ב-85,000 דולר. ׳השד הטזמני׳ של התחרות היה האקר בשם ilxu1a, שהצליח לתקוף מרחוק את דפדפן פיירפוקס של מוזילה, בפחות משנייה אחת. הוא הבחין בפגיעות על ידי ניתוח סטטסי בלבד, מה שזיכה אותו ב-15,000 דולר.

בסופו של דבר, במערכת ההפעלה חלונות התגלו חמישה באגים וארבעה חורי אבטחה נוספים בדפדפן אקספלורר. במוזילה פיירפוקס, Adobe Flash ו-Adobe Reader נמצאו שלושה חורי אבטחה ובספארי וכרום נמצאו שני חורי אבטחה סה״כ.

די ברור ידם של מי על העליונה בתחרות הנוכחית, אך סביר להניח כי יצרניות הדפדפנים והלקוחות קצת פחות מרוצים. בסופו של דבר מדובר בתחרות משתלמת עבור שני הצדדים, שכן בעוד שההאקרים נהנים מתמריץ להצליח בצורת פרס כספי, חברות הדפדפנים מקבלות המחשה לעמידותן (או יותר נכון אי עמידותן) בפני תקיפות, מה שמאפשר להן להתגונן בהתאם. המסקנה היא כי אף אחד לא עמיד בפני פריצה, ומזל שתחום אבטחת הסייבר בישראל לא מפסיק להתפתח כדי להתמודד בדיוק עם איומים אלו.

הילה חיימוביץ׳

גיקית, Deal With It

הגב

2 תגובות על "איזה דפדפן הכי בטוח? Pwn2Own 2015"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שלמה שוורץ
Guest

תוכנות שהמהות שלהן הוא הרצת קוד על מחשב המשתמש לעולם יהיו חשופות למתקפות. פקודות מאקרו של אופיס, JS של דפדפן + התקנת תוספים או AS של פלאש. האלטרנטיבה זה להשתמש בתוכנות מנוונות, מסורסות ובלתי שמישות. מי שרוצה אבטחה אמיתית צריך לעשות כמו בגופי הבטחון ופשוט לנתק את המחשב מהרשת. השאר יסתפקו בתוכנות האבטחה הסטנדרטיות, המקפידים יותר יריצו דפדפנים עם הרשאות משתמש מסויימות ויקנפגו את מאפייני האבטחה של הדפדפן.
והכי חשוב לכולם: לא לפתוח קבצים חשודים!

אריאל
Guest

הכתבה קצת פיספסה את המטרה של התחרות ואת העובדה שמדובר בהזדמנות של הדפדפנים להקשיח ולשפר את עצמן. תמורת תגמול ראוי אקרים חושפים את הבאגים שהם מגלים והחברות שמאחורי הדפדפנים זוכות בעבודת QA מהרמה הגבוהה ביותר.

ולראיה, התחרות התקיימה ב־ 18 ו־ 19 לחודש זה וחברת מוזילה הוציאה ב־ 20 לחודש את גירסה 36.0.3 וביום למחרת את 36.0.4. גרסאות שסגרו את הפריצות שנתגלו ב־ Pwn2Own.
https://www.mozilla.org/en-US/firefox/36.0.3/releasenotes
https://www.mozilla.org/en-US/firefox/36.0.4/releasenotes

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל