Google wierzy w zabezpieczenia Chrome

Twórcy przeglądarki Chrome wydają się przekonani, że jej zabezpieczenia są stuprocentowo skuteczne - koncern Google przeznaczył 20 tys. USD (oraz notebooka CR-48) na nagrodę dla osoby, która zdoła "złamać" Chrome podczas konkursu hakerskiego Pwn2Own. Podczas poprzednich edycji konkursu to właśnie Chrome sprawił uczestnikom najwięcej problemów - rok temu nikt nie zdołał się do niego włamać.

Konkurs jest organizowany od kilku lat podczas odbywającej się w marcu konferencji CanSecWest w Vancouver. Zadaniem jego uczestników jest włamanie się do komputerów z Windows, Mac OS X oraz Linuksem, popularnych przeglądarek oraz (od niedawna) smartfonów. Impreza podzielona jest na kilka etapów - na początku włamanie się jest największym wyzwaniem, bo atak może być przeprowadzony tylko zdalnie, i to na "goły" (tzn. pozbawiony dodatkowego oprogramowania) system. Jeśli to się nie uda, w kolejnych etapach uczestnicy mogą próbować atakować system przez luki w popularnym oprogramowaniu.

W zeszłym roku Chrome był jedyną przeglądarką, której zabezpieczeń nikt nie zdołał złamać (nie "poległ" również Ubuntu Linux - do komputera z tym system nikt nie próbował się włamać).

Podwójna nagroda za włamanie do Chrome

Przedstawiciele Google najwyraźniej liczą na to, że ten sukces uda im się powtórzyć również w tym roku. Aby zachęcić hakerów do podejmowania prób ataku, koncern ufundował własną nagrodę, w wysokości 20 tys. USD oraz komputera przenośnego CR-48 (pierwszego notebooka z systemem Chrome OS). Warto odnotować, że to dwukrotnie wyższa kwota niż standardowa nagroda wypłacana przez organizatorów Pwn2Own za udane włamanie w pierwszym etapie konkursu.

Wiadomo już, że celem ataku będzie przeglądarka Chrome zainstalowana w 64-bitowym Windows 7 lub Mac OS X. Zadanie uczestników konkursu będzie o tyle utrudnione, że Chrome jest jedyną uwzględnioną w Pwn2Own przeglądarką, która domyślnie wyposażona jest w tzw. piaskownicę (sandbox - specjalne izolowane środowisko, w których uruchamiany jest kod).

20 tys. USD oraz notebook trafią do osoby, która pierwszego dnia konkursu zdoła obejść zabezpieczenia zastosowane w przeglądarce Google, wykorzystując do tego błąd w kodzie Chrome. Nagroda za udane włamanie drugiego i trzeciego dnia będzie o połowę niższa - ponieważ wtedy atak będzie można przeprowadzić wykorzystując lukę w produkcie innej firmy.

Kiepska passa Apple'a

Warto przypomnieć, że w kilkuletniej historii konkursu Pwn2Own najgorzej wypadały zwykle produkty firmy Apple - jej system i przeglądarka były "łamane" przez uczestników w zaledwie kilka minut. Wyspecjalizował się w tym szczególnie słynny ekspert ds. bezpieczeństwa, Charlie Miller - w 2008 r. potrzebował ok. dwóch minut, aby uruchomić złośliwy kod i przejąć kontrolę nad notebookiem MacBook Air pracującym pod kontrolą w pełni uaktualnionego systemu Mac OS X (podobny wyczyn Miller powtórzył również w ubiegłym roku).

Niewiele lepiej wypadały Firefox, Internet Explorer oraz Windows - w większości przypadków ich zabezpieczenia również były forsowane (aczkolwiek zabierało to nieco więcej czasu niż w przypadku Mac OS X oraz Safari).


Zobacz również