Penyelenggara kontes hacking Pwn2Own memperkirakan Safari-nya Apple akan menjadi browser pertama yang tumbang bulan depan pada kontes tsb.
Seorang peneliti yang dua tahun terakhir menang di Pwn2Own tidak begitu yakin.
"Safari akan menjadi yang pertama kali keluar," kata Aaron Portnoy, pimpinan tim peneliti keamanan 3Com TippingPoint, sponsor Pwn2Own. Portnoy adalah penyelenggara kontes. "[Safari akan] berada di Snow Leopard (Type OS Mac), yang tidak berada pada tingkat yang sama seperti Windows 7," tambahnya sambil memperkirakan bahwa browser Apple akan runtuh ketika kontes dimulai 24 Maret nanti.
Sekarang dalam tahun keempatnya, Pwn2Own telah membuat berita utk meng-hack Apple's Mac OS X dan Safari, serta Microsoft Windows dgn browser Internet Explorer (IE). Pada tahun 2009, misalnya, peneliti Charlie Miller berhasil meng-hijack Mac dalam waktu kurang dari lima detik lewat Safari dan memenangkan $5.000, sementara seorang mahasiswa Jerman merobohkan tiga browser pada Windows dan memenangkan $15.000.
Miller, yang bekerja sebagai analis utama di Independent Security Evaluators, sebuah perusahaan konsultan keamanan, berencana untuk kembali bersaing di Pwn2Own. Pada tahun 2008, Miller memenangkan $10,000 dengan melakukan hacking pada MacBook Air dalam waktu kurang dari dua menit, lagi-lagi dengan memanfaatkan sebuah bug di Safari.
Tapi dia tidak sepasti Portnoy bahwa browser Apple akan jatuh terlebih dahulu. "Tidak seperti tahun-tahun sebelumnya, aku akan mengatakan Safari tidak secara signifikan lebih mudah daripada browser pada Windows," kata Miller dalam sebuah e-mail menjawab pertanyaan tentang rencana dan prediksi Pwn2Own. "Saya mengatakan hal ini karena Snow Leopard akhirnya memiliki DEP [data Execution Prevention/Pencegahan Eksekusi Data]. Selain itu, karena di Black Hat DC, Dion Blazakis menunjukkan bagaimana cara menundukkan DEP dalam browser di Windows. Satu-satunya perbedaan adalah bahwa Safari memiliki permukaan yg serangan lebih besar, dan termasuk, misalnya PDF reader (ingat peringatan meng-update Adobe Reader dan Flash yg HILink posting kmrn?) dan Flash. "
"Aku memprediksi bahwa dua untuk tiga browser akan jatuh, termasuk Safari untuk empat tahun berturut-turut," katanya.
Tahun lalu, Firefox, IE dan Safari semua jatuh, hanya Google Chrome yg tanpa cedera.
Hari pertama tantangan browser Pwn2Own tahun ini, peneliti akan berhadapan dengan versi terbaru Chrome, Firefox dan Internet Explorer 8 (IE) pada Windows 7, dan Safari pada Mac OS X 10.6, alias Snow Leopard. Dalam kontes ini sistem operasi yang diserang akan diberikan pengaturan pertahanan serangan sebagai pengaturan standarnya.
Jika browser jatuh pada hari 1, para penyerang akan diberikan $10,000 - dua kali hadiah tahun lalu - dan notebook yang digunakannya. Begitu ter-hack, browser akan dihapus dari kompetisi. Browser yang tak tersentuh akan melanjutkan ke hari kedua, dan Chrome, Firefox dan IE7 diinstal pada laptop yang menjalankan OS Windows Vista. Setiap browser yang bertahan sampai hari ketiga diinstal pada Windows XP. (Safari tetap pada Snow Leopard.)
Karena perubahan lanskap OS untuk Chrome, Firefox dan IE, Portnoy meramalkan bahwa tak satu pun dari browser tsb yang akan jatuh pada hari pertama, sebab masing-masing akan berjalan pada Windows 7. "Semua yang berada pada Windows 7 tidak akan jatuh pada hari pertama," kata Portnoy. "DEP dan ASLR [Address Space layout Randomization/pengacakan tata ruang alamat] menjadikan pengexploitasian kelemahan jauh lebih sulit."
Peneliti kemungkinan akan menunggu sampai hari kedua atau ketiga untuk mengambil celah di Windows browser, katanya. Pembayaran, $10.000, adalah tidak begitu penting ketika browser berhasil dieksploitasi.
Pwn2Own juga akan menampilkan sesi hacking iPhone 3G, Blackberry Bold 9700, smartphone Nokia yang tidak ditentukan tipenya namun menjalankan platform Symbian S60 dan Motorola, kemungkinan besar Droid, yang didukung oleh Google's Android. Hack yang menang adalah yang mengakibatkan eksekusi kode dengan jumlah interaksi user yang paling sedikit atau tidak sama sekali
Jika ia harus memilih telepon termudah untuk diserang, ia akan bertaruh pada iPhone. Mengapa? "Karena menggunakan Safari, yang dibangun dengan WebKit [mesin] yang terkenal memiliki bug," kata Portnoy.
Miller, yang juga memiliki reputasi di sisi mobile - dia adalah salah satu dari tiga peneliti yang menemukan bug keamanan pertama di iPhone dan menemukan kerentanan pertama di Android - yakin bahwa smartphone akan tetap tak tersentuh, seperti yang mereka lakukan selama Pwn2Own 2009.
"Saya memperkirakan tak satu pun dari seluler akan berhasil diserang," kata Miller. "Telepon jauh lebih sulit utk diserang daripada browser, tidak ada pengetahuan umum di luar sana untuk menyerang ponsel sebagaimana pada browser. Menyerang ponsel masih merupakan hal baru."
Portnoy berharap Miller salah. "Kita akan melihat lebih banyak pesaing pada ponsel dibandingkan tahun lalu," kata Portnoy. "Saya mengenal beberapa peneliti yang telah menyiapkan kerentanan yang telah diketahuinya, seperti yang selalu mereka lakukan."
Tahun ini, panitia melibatkan kelompok penasehat keamanan sekitar 15 peneliti yang mengerjakan aturan-aturan dasar kontes itu. TippingPoint juga menaikkan imbalan sesi mobile dari $10,000 pada tahun 2009 menjadi $15,000 pada tahun ini.
Pwn2Own akan dilaksanakan pada 24-26 Maret di konferensi keamanan CanSecWest di Vancouver, British Columbia, dan memberikan penghargaan sebanyak $100.000 dalam uang tunai. TippingPoint akan membeli hak atas kode kerentanan dan eksploitasi yang digunakan selama kontes, melaporkan bug ke vendor dan menggunakan informasi tsb untuk meningkatkan sistem keamanan yg dijualnya.
#diterjemahkan secara bebas (dgn tidak karuan) dan diedit seperlunya dari Computerworld :P
No comments:
Post a Comment