15 ezer dollár egy sérülékenységért

A hekkerversenyek az egyre nagyobb érdeklődésre számot tartó események közé tartoznak. Ezeken ugyanis a biztonsági rések legjelesebb kutatói összegyűlhetnek, és a világ előtt mutathatják meg a képességeiket. A legális körülmények közé szorított hekkerkedés már többször bizonyította, hogy segíthet biztonságosabbá tenni az informatikai termékeket, köztük a legnépszerűbb alkalmazásokat. Egy-egy igazi hekkerverseny alkalmával nem lehet nyilvánosságra hozni a sebezhetőségek technikai részleteit, illetve az azok kihasználásához szükséges kódokat, ugyanis azokat először a feltört szoftverek fejlesztői ismerhetik meg, akiknek így lehetőségük nyílhat a hibák mielőbbi orvoslására.

A hekkerversenyek egyik legnevesebb képviselője a Pwn2Own nevet viseli. Idén március 24-én fog kezdődni Vancouverben, és a CanSecWest biztonsági konferencia keretében kerül majd megrendezésre. Az eseménnyel kapcsolatos legfrissebb hírek szerint a 2010-es megmérettetésen az ismeretlen sérülékenységek felfedezői akár 15 ezer dollárt is bezsebelhetnek. Ehhez nem kell mást tenniük, mint az általuk ismert biztonsági rést a közönség és a zsűri előtt kihasználni.

Az idei megmérettetés három napos lesz. Hasonlóan a tavalyi versenyhez, ezúttal is két szálon fognak zajlani az események. A versenyzőknek ugyanis lehetőségük lesz bizonyítani a képességeiket a webböngészők valamint egyes mobil platformok esetében is. A böngészők törésére vállalkozók az első napon az Internet Explorer, a Firefox, a Chrome és Safari hekkelésére is benevezhetnek. A Safari Mac OS X 10.6 alatt fog futni, míg a többi Windows 7-en. Amennyiben valamely böngészőn sikerül "fogást találni", akkor az az alkalmazás a további küzdelemből kikerül. Azok a böngészők, amelyek az első napon képesek lesznek állni a sarat, a második napon Windows Vistára, míg a harmadik napon Windows XP-re kerülnek fel. A Safarit mindvégig a Mac OS X 10.6 alatt lehet majd hekkelni.

A webböngészők mellett a mobil platformok is górcső alá kerülnek. A vállalkozó szellemű hekkereknek az iPhone 3GS-t, a Blackberry Bold 9700-at, egy Symbian S60 alapú Nokia okostelefont valamint egy Google Androidra épülő készüléket (vélhetőleg Motorola Droidot) is lehetőségük lesz feltörni. Amennyiben ez valamely résztvevőnek sikerül, akkor megkapja a meghekkelt telefont és a pénzjutalmat. Ennek összege a böngészők és a mobilok versenyében is azonos: a 10000 dolláros jutalmat a TippingPoint további 5000 dollár értékű ZDI (Zero Day Initiative) ponttal toldja meg.

A tavalyi Pwn2Own legismertebb történése az volt, amikor Charlie Miller biztonsági kutató öt másodperc alatt tört fel egy Mac OS X alapú számítógépet, és zsebelte be az akkor még 5000 dolláros pénzjutalmat. Minden bizonnyal - ha nem is dől meg ez az időrekord - idén is elkelnek majd a díjak, legalábbis a szervezők erre számítanak. Természetesen egy ilyen megmérettetésen nemcsak a pénzjutalom számít, hanem az a hírnév és szakmai elismerés is, amelyben egy-egy győztes részesülhet.

A versenyzők által felfedezett biztonsági rések technikai részletei, illetve az azok kihasználásához szükséges kódok a TippingPointhoz kerülnek, amely közvetlenül értesíti a fejlesztőket a feltárt hibákról. A szervezők mindent elkövetnek majd, hogy a sérülékenységek részletei - legalább a hibajavítások elkészültéig - semmiképpen se kerülhessenek nyilvánosságra.

A cikk testvéroldalunkon, a ComputerWorld Online-on is megjelent.