W trakcie trwającej konferencji bezpieczeństwa CanSecWest 2008 w Vancouver, po raz kolejny odbyła się “informatyczna Liga Mistrzów”, jaką jest PWN 2 OWN. Największy na świecie pojedynek: system operacyjny kontra hacker. Wygrał hacker, po 2 minutach łamiąc MacBook Air z OS X 10.5.2
PWN 2 OWN jest to największy na świecie konkurs, który ma na celu wyłonienie zwycięzcy wśród najbezpieczniejszych systemów operacyjnych. Nagrodą główną dla osoby, która pokona zabezpieczenia jest 20 tys dolarów.
W zeszłym roku, konkurs polegał na złamaniu zabezpieczeń komputera MacBook Pro, co się udało po dziewięciu godzinach, dzięki stworzeniu exploita dla Safari. W tym roku organizatorzy postanowili zwiększyć wachlarz systemów operacyjnych, i tak użytkownicy otrzymali trzy laptopy do pokonania:
- VAIO VGN-TZ37CN z Ubuntu 7.10
- Fujitsu U810 z Vista Ultimate SP1
- MacBook Air z OS X 10.5.2
Wszystkie komputery były zaktualizowane. Ustawienia systemów były domyślne, dla typowego użytkownika.
W konkursie mógł wziąć udział każdy zarejestrowany uczestnik CanSecWest 2008. Trwał on od rozpoczęcia konferencji 26 marca, poprzez wszystkie prezentacje i przerwy, do końca konferencji 28 marca. Główny cel, jaki organizatorzy chcieli osiągnąć, to odkrycie nowych dziur, by autorzy systemów mogli je załatać.
Pierwszego dnia konkursu nikt nie spróbował dostać się do laptopów. Organizatorzy nie byli tym zdziwieni, ponieważ tego dnia atakujący mieli do dyspozycji tylko ataki przez sieć, bez interakcji użytkownika. W regulaminie konkursu istniał zapis, że z dnia na dzień wartość nagrody głównej będzie spadać o połowę. Dlatego też drugiego dnia było to tylko 10.000$. Jeżeli również tego dnia nie doszłoby do skutecznego przejęcia, ostatniego dnia organizatorzy zainstalowaliby zewnętrzne aplikacje np. Skype, by sprawdzić czy dzięki temu uda się złamać zabezpieczenia.
Jak się później okazało, główną nagrodę zgarnął Charlie Miller, człowiek który pierwszy złamał zabezpieczenia iPhone. Włamał się do MacBooka.
Drugiego dnia konkursu, dzięki możliwości “współpracy” ze strony użytkowników, Miller poprosił o wejście organizatorów na wcześniej spreparowaną stronę. W przeciągu dwóch minut przejął kontrolę nad systemem.
Był pierwszą osobą, która w ogóle spróbowała dostać się do komputera. Po włamaniu dostał do podpisania dokument w którym oświadcza, że nie wyjawi dziury dopóki sponsor konkursu TippingPoint nie poinformuje Apple.
W związku z niemożliwością używania zewnętrznego oprogramowania na komputerze, dziura prawdopodobnie znajduje się w przeglądarce Safari.
Zeszłoroczny zwycięzca, Dino Dai Zovi pogratulował Millerowi. Sam nie brał udziału w tegorocznym konkursie, ponieważ uważał że tym razem ktoś inny powinien wygrać.