Hackeři měli soutěž. Jaký systém odolal?

Mezi 26. a 28. březnem se ve Vancouveru v Kanadě konal devátý ročník CanSecWest, konference zaměřené na digitální bezpečnost. V jejím rámci se uskutečnila soutěž Pwn2Own: hackeři měli prolomit zabezpečení tří systémů a svou práci předvést. Výsledky jsou vcelku překvapivé.

Hackeři, nebo chcete-li výzkumní pracovníci zaměření na bezpečnost softwaru, měli za úkol během tří dnů najít chyby ve třech systémech a využít je ke vzdálenému získání kontroly nad napadenými stroji. Šlo o následující operační systémy: Windows Vista Ultimate SP1 (na subnotebooku Fujitsu-Siemens U810), Mac OS X 10.5.2 (na notebooku MacBook Air) a Ubuntu 7.10 (na notebooku VAIO VGN-TZ37CN). Všechny operační systémy byly aktualizované, tedy výrobcem maximálně "zalátané".

První den, 26. března, zůstaly systémy nedobyty ― nikomu se nepodařilo najít slabinu v samotných systémech, ovladačích nebo v nástrojích pro práci se sítí. Ubuntu (Linux), Windows Vista i Mac OS X na tom z bezpečnostního hlediska byly po prvním dni stejně.

Druhý den bylo ale vše jinak. To už totiž účastníci měli možnost využít i aplikací přítomných v systémech od základní instalace. Jestliže čekáte, že jako první padly Windows Vista, mýlíte se. Během pár minut byl totiž dobyt operační systému od Applu: Mac OS X doplatil na zranitelnost ve svém webovém prohlížeči Safari.

Charlie Miller, který mimochodem byl prvním člověkem, jemuž se podařilo na dálku napadnout iPhone rovněž od společnosti Apple, tak získal odměnu 10 000 amerických dolarů. Odmítl však sdělit podrobnosti bezpečnostní chyby, což mu vlastně ani podle pravidel soutěže nebylo umožněno. Jak se nechal slyšet, k hacknutí si vybral Mac OS X proto, že si myslel, že právě s ním to půjde nejjednodušeji. Zranitelnost Safari si žádá jen to, aby uživatel Mac OS X kliknul na určitý odkaz na webu či v e-mailové zprávě. Poté se otevře port, přes který útočník ― v tomto případě tedy Charlie Miller ― může spustit libovolný kód. Miller se ovšem v operačním systému Applu nešťoural pro to, aby dokázal, že je lehce napadnutelný, právě naopak: coby uživatel "Maců" doufá, že jeho práce pomůže Mac OS X udělat ještě lepším, odolnějším. Zranitelnost přes Safari však ještě nevyzkoušel na Windows (o verzi Safari pro Windows si řekneme více v textu níže).

Další systém padl až poslední třetí den. Zatímco prvního dne bylo dovoleno zkoumat zranitelnosti samotného systému a systémových služeb a druhý den aplikace dostupné v základní instalaci, třetí den měli hackeři skoro volné ruce a mohli se zaměřit na více softwarových produktů třetích stran.  A výsledek? Jako druhé v řadě padly Windows Vista SP1, a to kvůli do té doby neznámé zranitelnosti ve Flash Playeru od Adobe. 

Autorem "objevu" byl Shane Macaulay, který už při loňském ročníku Pwn2Own pomohl pokořit Mac OS X (opět přes Safari). V předvedení zranitelnosti jej ovšem zásadně zdržela jedna věc. Před soutěží totiž jaksi opomněl na svůj zkušební stroj s Windows Vista nainstalovat čerstvý první servisní balíček (SP1), který byl nedávno Microsoftem vydán v ostré verzi.  Měl smůlu v tom, že Microsoft do prvního servisního balíku, který řeší i problémy se zabezpečením, přidal ochranu, která systém chrání před podobně laděnými útoky skrze aplikace třetích stran. Nicméně za několik hodin si dokázal najít způsob (prý pomocí jednoduchého javascriptu), jak svůj kód úspěšně spustit a Windows Vista napadnout.  Za demonstraci nové zranitelnosti a pokoření Windows si odnesl odměnu ve výši 5 000 amerických dolarů a rovněž mu bylo nabídnuto, že si stroj, se kterým na konferenci pracoval, může ponechat. Společně s kolegou Alexem Sotirovem (výzkumníkem z VMware) notebook podepsali a umístili do internetové aukční síně eBay.

Poslední z trojice systémů, Ubuntu (Linux), zůstal nezdolán. Nikomu se nepodařilo přijít s žádnou funkční zranitelností využitelnou k získání vzdálené kontroly nad systémem.

Žabomyší války

Samozřejmě, že výsledky rozpoutaly vášnivé debaty a rozhádaní zastánci jednotlivých operačních systémů se přeli a přou, jaký systém je nejbezpečnější a co výsledky soutěže znamenají. "Když padl jako první Mac OS X od Applu, znamená to snad, že je nejméně bezpečný? A když Linux nebyl nikým pokořen, je nejbezpečnější?," ptají se. Jak poznamenal Macaulay, je si víceméně jistý, že jeho útok by po určitých úpravách ― jež by nezabraly více než pár hodin práce ― šel provést i pod Linuxem a i Mac OS X, nejen pod Windows. Právě kvůli podobným útokům je prakticky jedno, jaký systém kdo používá. Pokud multiplatformní software třetí strany obsahuje určitá slabá místa, těchto slabin se dá zneužít i na více platformách.

Špatné dny pro Apple

Byly to ale špatné dny pro Apple. Alespoň v souvislosti s jeho webovým prohlížečem Safari. Ten byl nedávno uvolněn i pro operační systém Windows. Ovšem už v minulých měsících, když internetem kolovala jeho testovací verze, se vyrojily seznamy s bezpečnostními chybami, které umožňovaly útočníkovi získat nad napadeným systémem kontrolu. O problémech první veřejné verze se můžete dočíst zde. Prakticky vzápětí, co Safari pro Windows vyšlo, v něm byly nalezeny bezpečnostní díry.  První objevil David Maynor, inženýr ze společnosti Errata Security. Tehdy v červnu na svém blogu napsal: "Jsou to asi dvě hodiny, co jsem stáhl a nainstaloval Safari pro Windows, a už mám zcela funkční zranitelnost umožňující spuštění kódu, k němuž dojde bez interakce s uživatelem, prostě [kód se spustí] jen návštěvou webové stránky". Během krátké doby bylo údajně nalezeno několik desítek chyb, a to i přesto, že Apple brzy vydal opravenou verzi Safari.

Apple to se Safari nemá jednoduché. Zvolil totiž i nepříliš vhodný způsob jeho distribuce: tento webový prohlížeč se objevil jako důležitá aktualizace v nástroji Apple Update Software, který je součástí ostatních aplikací pro Windows (iTunes a QuickTime). Zhruba půl miliardě lidí se tak Safari vnutilo samo. Šéf Mozilly (z jejíž dílny pochází i konkurenční Firefox) prohlásil, že způsob, jakým Apple distribuuje Safari, "hraničí s praktikami šíření malwaru."