De wedstrijd is onderdeel van het Zero Day Initiative van TippingPoint, waarmee het bedrijf mensen uitdaagt om beveiligingsonderzoek te doen en zo lekken aan het licht te brengen. Softwaremakers kunnen de zwakheden verhelpen. De wedstrijd wordt ieder jaar gehouden. Op de beveiligingsconferentie CanSecWest in Canada werd duidelijk wat de oogst was.

Hollands glorie met Windows 7

De Nederlandse beveiligingsonderzoeker Peter Vreugdenhil scoorde door twee beveiligingstechnieken van Microsoft Windows te omzeilen. Als eerste pakte hij de techniek aan dat ervoor moet zorgen dat stukken gegevens op willekeurige plaatsen in het geheugen bivakkeren. Hierdoor is het voor aanvallers moeilijker om aanvallen op dat geheugen uit te voeren, omdat niet duidelijk is waar bepaalde code zich bevindt. Maar Vreudenhil wist dat te omzeilen en kreeg Address space layout randomization (ASLR) daarmee op de knieën.

Daarna wist hij om de Data Execution Prevention of DEP te kraken. Die hack is pijnlijker, omdat deze techniek moet voorkomen dat er code wordt uitgevoerd vanuit stukken geheugen die daar niet voor bestemd zijn. Nu dat toch mogelijk is, is deze beveiliging nagenoeg waardeloos tot het moment dat het gat gedicht is.

Omdat Vreugdenhil gebruik maakt van Internet Explorer 8 is het mogelijk een aanval op afstand uit te voeren. Pijnlijk detail is verder dat hij gebruik maakt van een buffer overflow, het type probleem waar Microsoft al jaren mee worstelt en ook de nodige kritiek voor heeft gehad.

Microsoft erkent het lek. "Microsoft is op de hoogte van een nieuwe kwetsbaarheid in Internet Explorer die tijdens de Pwn3Own-wedstrijd is onthuld. We onderzoeken de kwestie en zullen stappen nemen om onze klanten te beschermen als het onderzoek is afgerond", aldus Jerry Bryant van het Microsoft Security Research Center (MSRC) tegen Computerworld.com.

Bezit over Windows 7 via FireFox

Wie de hack van Vreugdenhil wil voorkomen met Firefox komt van een koude kermis thuis. Onderzoeker “Nils”, die zijn echte naam niet wil geven, slaagde er voor het tweede jaar in een onbekend lek in Firefox te vinden. Ook hij weet daarna Windows 7 te bedwingen door ALSR en DEP te omzeilen. Ook deze hack is via een kwaadaardige website te misbruiken.

Overigens is het nog wel mogelijk tijdelijk veiliger te zijn. Geen van de deelnemers was in staat een succesvolle aanval op Google's Chrome uit te voeren. Dat betekent niet dat het onmogelijk is, maar beveiligingsonderzoekers geven aan dat het niet eenvoudig een aanval uit te voeren. Voor security-onderzoeker Charlie Miller, die hieronder nog aan bod komt, is de conclusie duidelijk: DEP en ALSR werken niet.

20 seconden voor de iPhone

Vincenzo Iozzo en Ralf Philipp Weinmann deden een aanval op een iPhone 3GS en wisten binnen 20 seconden toegang te krijgen tot de SMS-gegevens van het toestel. Om dit voor elkaar te krijgen werd ook een aanval op de browser van de mobiel uitgevoerd. Via slimme code is het mogelijk om bij de berichten te komen. Dat is slechts een voorbeeld, want door de hack ligt de informatie het toestel bloot voor iedere aanvaller.

Een nadeel van die aanval is dat de browser crasht tijdens de aanval. De beveiligingsexperts denken dat met wat extra werk het mogelijk is de aanval zo te maken dat de sessie niet onderuit gaat en de gebruiker de aanval niet eenvoudig kan opmerken. Het knappe aan de truc is dat de iPhone goede bescherming heeft om vreemde code te ontdekken en te stoppen. Volgens de experts was dat ook het grootste obstakel dat moest worden overwonnen.

Safari kraken

Charlie Miller, die vorig jaar ook al een prijs won, had een aanval voorbereid om Safari op Mac OS X te kraken. Vorig jaar ontdekte hij een lek in het systeem dat het mogelijk maakt om via de browser het besturingssysteem te benaderen via een kwaadaardige website. Hij demonstreerde dat door enkel te klikken op een link. Enkele seconden later was de machine gekraakt.

Veel meer details zijn er van deze hack niet bekend, omdat de deelnemers geen specifieke informatie over het lek mogen geven totdat het gedicht is. Zou hij wel meer informatie geven dan is zijn onderzoek te eenvoudig te reproduceren.

In totaal stelt Miller twintig zwakheden in Mac OS X Snow Leopard en Microsoft Windows en Adobe Acrobat Reader te hebben gevonden, die op de conferentie zijn aangekondigd maar niet gepresenteerd. Wel heeft hij informatie gegeven over de manier waarop hij de zwakheden heeft ontdekt. Volgens Miller heeft Apple enthousiast gereageerd op zijn bevindingen, omdat de details nog niet zijn aan gekondigd.

Meester Miller geeft les

Misschien is de mooiste hack wel de ontdekking van 20 gevonden lekken door Charlie Miller. In plaats van het geven van de gevonden lekken, heeft de expert besloten de bedrijven Microsoft, Apple en Adobe uit te leggen hoe zij de bugs ook kunnen vinden en adviseert ze zelf te gaan zoeken.

Miller is de problemen zat en wil dat er iets fundamenteels verandert. Volgens hem zijn de zwakheden eenvoudig te vinden. “We vinden een lek en zij dichten het”, vertelt hij de IDG News Service. “We vinden nog een lek en zij dichten het. Dat verbetert de beveiliging niet.” Door de bedrijven zelf op ontdekkingstocht te laten gaan, hoopt hij dat ze structureel meer problemen vinden en oplossen.