สรุปงาน Pwn2Own 2015 ที่พึ่งผ่านมาไม่กี่วัน เป็นงานจัดขึ้นเพื่อให้ Security researcher, Hacker มาปล่อยของกัน โดยถ้าสามารถโชว์ Proof of Concept ช่องโหว่ของ software ที่กำหนดว่าสามารถแฮกได้ก็รับเงินกันไป โดยในปีนี้มี software เป้าหมายและรางวัลได้แก่
Windows-based targets:
1. Google Chrome (64-bit): $75,000
2. Microsoft Internet Explorer 11 (64-bit with EPM-enabled): $65,000
3. Mozilla Firefox: $30,000
4. Adobe Reader running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000
5. Adobe Flash (64-bit) running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000
Mac OS X-based targets:
1. Apple Safari (64-bit): $50,000
ในปีนี้เป้าหมายเป็น web browsers ยอดนิยม software เป้าหมายทุกตัวรวมถึง OS จะถูก updated/patched ให้เป็นเวอร์ชั่นล่าสุด ทำการเปิด Enhanced Mitigation Experience Toolkit(EMET) และเป้าหมาย/เหยื่อจะต้องไม่ทำอะไรมากไปกว่าแค่เปิดเว็บไปที่หน้าเว็บที่ Security researcher หรือ Hacker สร้างไว้เท่านั้น เพื่อโชว์ว่าในสถานะการณ์ทั่วไปแค่ผู้ใช้เปิดหน้าเว็บที่ฝัง code อันตรายไว้ก็สามารถถูกแฮกได้เลยนั้นเอง
ผลก็คือ software เป้าหมายตายเรียบทุกตัว
Microsoft Windows: 5 bugs
Microsoft IE 11: 4 bugs
Mozilla Firefox: 3 bugs
Adobe Reader: 3 bugs
Adobe Flash: 3 bugs
Apple Safari: 2 bugs
Google Chrome: 1 bug
คนที่มาแรงในงานนี้ก็คือ JungHoon Lee หรือ lokihardt กวาดรางวัลกลับบ้านไปคนเดียว $225,000 !!!!!
สรุป
security is hard!
secure == powered off ถถถถถ5555+
เราจะเห็นว่าฝั่งที่ทำ security มาป้องกันไม่ว่าจะทำให้การ exploit/hack ยากเท่าไหร่สุดท้ายก็ถูก hack ได้เหมือนเดิม แล้วคนที่แข่งในงานนี้สิ่งที่เขาทำมันยากขนาดไหนละ? ผมจะเปรียบเทียบให้คนทั่วไปสามารถเข้าใจได้ง่ายๆ ” สิ่งที่เขาทำเหมือนการพยายามตีลูกกอล์ฟ(Bugs)ให้ลงหลุมในทีเดียว โดยที่ในสนามเต็มไปด้วยพายุ(DEP,LFH,Sandboxing,ROP Mitigation, …)และไม่รู้ด้วยซ้ำว่าหลุมอยู่ตรงไหน(ASLR) ” แต่เขาก็ยังหาวิธีตีลูกกอล์ฟให้ลงหลุมได้ 😀
References:
1. https://threatpost.com/all-major-browsers-fall-at-pwn2own-day-2/111731
2. https://threatpost.com/flash-reader-firefox-and-ie-fall-on-pwn2own-day-1/111720
3. https://threatpost.com/all-major-browsers-fall-at-pwn2own-day-2/111731
4. http://www.pcworld.com/article/2899952/all-major-browsers-hacked-at-pwn2own-contest.html
5. http://techcrunch.com/2015/03/20/your-favorite-browser-just-got-hacked-but-dont-panic/