Chrome OS trzyma firmę przeciwko hakerom w Pwnium 3

Konkursy hakerskie Pwn2Own 2013 i Pwnium 3 mogły odbyć się w tym samym miejscu w zeszłym tygodniu - w szczególności w konferencji bezpieczeństwa CanSecWest w Vancouver, BC - ale różnice w ich wynikach nie mogły być bardziej uderzające.

HP Security Research BlogHackers zwyciężyli w tegorocznym konkursie Pwn2Own.

Pwn2Own 2013, organizowanym przez HP Zero Day Initiative (ZDI), koncentruje się na przeglądarkach i wtyczkach do przeglądarek w tym roku, a była to scena rozlewnego, figuratywnego rozlewu krwi (patrz wyniki po prawej) dla testowanego oprogramowania.

Z drugiej strony Google Pwnium 3 to hakerzy, którzy zostali pokonani, nie mogąc złamać Google'a systemu operacyjnego Chrome opartego na systemie Linux.

[Dalsze informacje: Twój nowy komputer n przyznaje 15 darmowych, doskonałych programów]

3.14159 milionów $ w nagrodach

"Bezpieczeństwo jest jedną z głównych zasad Chrome, ale żadne oprogramowanie nie jest idealne, a błędy bezpieczeństwa prześlizgują się przez nawet najlepsze procesy rozwoju i przeglądu", napisał Chris Evans, członek zespołu bezpieczeństwa Google Chrome, w poście na blogu ogłaszającym konkurs pod koniec stycznia. "Dlatego nadal współpracujemy ze społecznością zajmującą się badaniami nad bezpieczeństwem, aby pomóc nam w znajdowaniu i usuwaniu luk."

Uczestnicy musieli zademonstrować atak na model podstawowy (WiFi) Chromebooka Samsung Series 5 550, uruchamiając Najnowsza stabilna wersja systemu operacyjnego Chrome.

Google zaoferowało też wiele motywacji: łącznie 3,14159 milionów dolarów zainspirowanych liczbą "pi", jak podał Google, z podziałem na 110 000 USD w przypadku przeglądarki lub kompromisu systemowego i 150 000 USD za kompromisem nie powiodło się po ponownym uruchomieniu.

Brak zwycięskich wpisów

"Uważamy, że te większe nagrody odzwierciedlają dodatkowe wyzwanie związane z ochroną systemu operacyjnego Chrome w porównaniu z tradycyjnymi systemami operacyjnymi" - wyjaśnia Evans.

GoogleThe new " seccomp-bpf 'warstwa sandbox w systemie operacyjnym Chrome dodaje dodatkowe zabezpieczenia (Kliknij, aby powiększyć).

Na szczęście dla użytkowników Chromebooków - ale niestety dla konkurencyjnych hakerów - nikt nie zdołał osiągnąć pełnego kompromisu.

"My nie otrzymać wszystkie zwycięskie prace, ale oceniamy niektóre prace, które mogą kwalifikować się jako częściowe exploity, "przeczytaj ogłoszenie wyników w czwartek w Google +.

Przewaga Linuxa

Oczywiście, należy zauważyć, że odkrycie Chrome wykorzystać dwa dni wcześniej, pozwolił Google na łatanie systemu operacyjnego Chrome przed rozpoczęciem Pwnium, jak wskazano w zeszłotygodniowym wpisie na blogu od firmy ochroniarskiej Sophos.

Jednak fakt, że nic nie odkryto, jest w dużej mierze dowodem na to, że Chrome OS jest oparty na Linuksie, który jest powszechnie uważany za dużo bezpieczniejszy niż jego własne odpowiedniki.

Dzieje się tak z wielu powodów, w tym sposobu przydzielania uprawnień i natury otwartego oprogramowania, ale system operacyjny Chrome dodaje także zalety seccomponents. bpf, funkcja piaskownicy, która niedawno została włączona do jądra Linux.

Rezultatem jest "mały filtr w jądrze, który szybko odrzuci wiele skał wyrzuconych przez atakującego", jako inżynier oprogramowania Google. ulien Tinnes wyjaśnił na blogu Chromium zeszłej jesieni.

Podsumowanie? Jeśli bezpieczeństwo jest dla ciebie priorytetem, to w Linuksie - w systemie operacyjnym Chrome lub w jednej z wielu jego innych form - jest droga.