Tegoroczna edycja Pwn2Own wystartuje 9 marca - celem uczestników będą cztery najpopularniejsze przeglądarki internetowe (Apple Safari, Google Chrome, Microsoft IE oraz Mozilla Firefox) oraz systemy operacyjne urządzeń przenośnych - iOS, Android, Windows Phone 7 oraz BlackBerry OS.

Pierwsza osoba, która włamie się do któregoś z celów, dostanie 15 tys. USD (wyjątkiem jest Chrome - tu nagroda jest wyższa o 10 tys. które dodatkowo wyłożył Google). Uczestnicy będą atakowali stanowiska z przeglądarkami oraz smartfony po kolei, w kolejności ustalonej w drodze losowania. Pierwsza osoba, która włamie się do danej przeglądarki lub smartfona, otrzyma nagrodę.

Hakerzy odejdą z niczym?

I właśnie to rozwiązanie ostro skrytykował Charlie Miller (który wygrał trzy ostatnie edycje konkursu, za każdym razem błyskawicznie włamując się do Mac OS X za pośrednictwem luk w Safari). Miller zwraca uwagę, że skoro nagrodę otrzyma tylko ta osoba, która włamie się jako pierwsza, to inni specjaliści, którzy wykryli inne luki w tym samym oprogramowaniu, odejdą z niczym. A to może zachęcić ich do wykorzystania błędu do niecnych celów - np. odsprzedania go przestępcom.

"Jestem mocno rozczarowany tym, jak organizatorzy rozwiązali tę kwestię. Do konkursu zapisało się bardzo wiele osób, ale tylko kilka z nich otrzyma nagrody. Co stanie się z wszystkimi lukami i exploitami, które nie zostaną wykorzystane podczas Pwn2Own?" - komentuje Miller.

Kwestia szczęścia

Specjalista dodaje, że podczas konkursu ważne są nie tylko umiejętności, ale również szczęście - tylko korzystne losowanie daje możliwość zaatakowania danej aplikacji (w przeciwnym razie uczestnik nie będzie nawet miał okazji wypróbowania "swojej" luki).

Regulamin konkursu stanowi, że jego organizator - projekt Zero Day Initiative - przejmuje pełne prawa do informacji o luce, która zostanie wykorzystana przez zwycięzcę do zaatakowania komputera lub smartfona (ZDI zgłosi ów błąd producentowi aplikacji i da mu sześć miesięcy na rozwiązanie problemu).

Wiadomo już, że Miller jest czwarty w kolejce do zaatakowania Safari Apple'a - specjalista wątpi jednak, że przeglądarka "przetrwa" atak pierwszych trzech hakerów. "Jeśli ktoś wygra przede mną, to na pewno nie ujawnię publicznie błędu, który zamierzałem wykorzystać w konkursie" - tłumaczy Charlie Miller.

Ekspert podkreśla, że osoby, które przygotowały się do wzięcia udziału w konkursie, ale które nie będą miały okazji do walki o nagrodę (bo ktoś wygra przed nimi) znajdą się w dość specyficznej sytuacji. Uczestnicy tacy będą mieli do dyspozycji skutecznego exploita na nieznaną wcześniej lukę w bardzo popularnej aplikacji. W tej sytuacji istnieje niebezpieczeństwo, że zechcą wykorzystać tę wiedzę do zarobienia pieniędzy w inny sposób - np. poprzez sprzedanie informacji o luce autorom złośliwego oprogramowania.

Chybione zarzuty?

Organizatorzy Pwn2Own twierdzą jednak, że zarzuty te są chybione - ich zdaniem uczestnicy konkursu zdają sobie sprawę, że luki można sprzedawać na "czarnym rynku", ale sam fakt uczestnictwa w konkursie pokazuje, że nie są oni zainteresowani takim rozwiązaniem. Aaron Portnoy przypomniał też, że project ZDI wypłaca normalne, "pozakonkursowe" nagrody wszystkim, którzy wykryją i zgłoszą nieznany błąd w popularnej aplikacji (firma płaci za błąd typu zero-day do 5 tys. USD). Jeśli więc ktoś weźmie udział w konkursie i nie będzie miał okazji zaprezentowania swojego exploita w praktycie, to zawsze może po imprezie zgłosić się do ZDI.

Warto przypomnieć, że podczas pierwszych edycji Pwn2Own organizatorzy konkursu wypłacali nagrody wszystkim uczestnikom, którzy zdołali włamać się do danej aplikacji (osoba, która zrobiła to jako pierwsza, dostawała najwyższą kwotę). Później jednak zasady zmieniono - od 2009 r. nagrodę dostaje ten, kto pierwszy zdoła się złamać zabezpieczenia.