Hackercompetitie met verrassende resultaten
Het kostte CanSecWest slechts twee minuten voordat een van de Macintosh-computers het slachtoffer werd.
Een van de grote, meerdaagse PWN2OWN-hackercompetities van dit jaar werd gehouden als onderdeel van het CanSecWest-beveiligingsevenement. De basisregel was dat concurrenten toegang moesten hebben tot het bestandssysteem van de Mac OS X (10.5.2), Linux (Ubuntu 7.10) en Windows Vista (Ultimate SP1)-gebaseerde computers, terwijl ze misbruik maakten van een zero-day-kwetsbaarheid die nog niet aan het licht komen.
Op de eerste dag hoefden de deelnemers alleen maar te proberen om een van de drie soorten systemen via een netwerk te kraken, zonder tussenkomst van externen of gebruikers. Al deze pogingen mislukten. Toen kwam de tweede dag, toen hackers al "gebruikershulp" konden gebruiken. Dat wil zeggen dat mensen die achter een computer zitten bedrieglijk kunnen worden overgehaald om bijvoorbeeld kwaadaardige websites te bezoeken of e-mails te bekijken. Deze strijd heeft de verschillende systemen al voor een veel grotere uitdaging gesteld. Zo erg zelfs dat de MacBook slechts twee minuten in de modder stond.
Deelnemers: MacBook Air (Mac OS X), Fujitsu U810 (Windows Vista) en Sony VAIO VGN-TZ37CN (Linux)
Het resultaat van twee minuten wordt toegeschreven aan Charles Miller, een voormalig werknemer van de Amerikaanse National Security Agency. hij maakte tijdens de race misbruik van een kwetsbaarheid in de Safari-browser en kreeg vervolgens toegang tot het MacBook-bestandssysteem. Daarmee verdiende hij de beloning van 10 dollar en een MacBook. De ernst van de wedstrijd wordt ook goed geïllustreerd door het feit dat hij, voordat hij de prijzen kon ontvangen, een vertrouwelijkheidsverklaring moest ondertekenen waarin stond dat hij geen details van de kwetsbaarheid die hij had uitgebuit mocht onthullen totdat beveiligingsbedrijven of ontwikkelaars de nodige stappen hadden ondernomen. preventieve beschermingsmaatregelen.
Dino Dai Zovi
Het is interessant om te vermelden dat de hackerrace van vorig jaar werd gewonnen door Dino Dai Zovi, die vervolgens een computer hackte via een QuickTime-kwetsbaarheid. Dai Zovi woonde het evenement dit jaar alleen als toeschouwer bij, maar aan het einde van het gevecht feliciteerde hij Miller onmiddellijk.