Ежегодное соревнование хакеров Pwn2Own так немилосердно громило системы
безопасности популярных компьютерных продуктов, что многие производители стонут,
когда узнают, что их товары будут участвовать.
Только не Google.
Когда недавно поисковая компания узнала, что их браузер Chrome в этом году не
будет участвовать в соревновании, которое запланировано на следующий месяц, она
попросила организаторов о пересмотре и даже предложила приз в 20 тысяч долларов
сверх уже обещанных 15 тысяч долларов любому участнику соревнования, который
успешно взломает браузер. Chrome был первоначально не включен в соревнование
из-за того, что он основан на том же движке Webkit, что и Safari, браузер Apple,
участвующий в соревновании.
"Это – показатель серьёзного отношения к делу, потому что они (Google) знают,
что даже публикация информации может сделать вещи сильнее", - сказал
Драгой Руиу, организатор конференции по вопросам безопасности CanSecWest,
который проводит соревнование. "Это избавляет от уязвимостей. Многие
производители, с которыми я говорю, обычно спрашивают: действительно ли вам
нужно включать наш продукт в соревнование?".
В ходе прошлогоднего соревнования Chrome стал единственным браузером, который
не подвергся взлому. В отличие от него, Safari, Internet Explorer компании
Microsoft и Firefox компании Mozilla все были взломаны с возможностью удаленного
выполнения кода.
Будет интересно увидеть, повезет ли Chrome в этот раз, на пятом соревновании
Pwn2Own в истории. В прошлом году исследователи сказали, что укрепление системы
безопасности - внедрение "песочницы" в браузерк Google - было так тяжело
разрушить, что тот взлом, который, возможно, подействовал бы, стоил бы намного
больше, чем 10 тысяч долларов, выделяемых на взлом каждого браузера. С тех пор
Google заплатил более 14 тысяч долларов исследователям, которые обнаружили
ошибки в браузере.
Но за 12 месяцев, которые прошли с прошлого соревнования, технология стала
уже не такой необычной, и такие производители программного обеспечения, как
Adobe, добавили механизм "песочницы" к неоднократно взломанному приложению
Reader, а исследователи уже нашли способ обойти эту защиту.
"Честно сказать, я не думаю, что браузер Google не будет взломан", - сказал
Руиу. "Много людей тратят время на то, чтобы выяснить, что нужно для того, чтобы
вырваться из VM-подобной среды. Появилось больше способов и люди хотят обсуждать
эти способы".
В прошлом году в ходе соревнования первому участнику, который успешно взломал
один из представленных браузеров – IE, Firefox, Safari и Chrome, была выплачена
сумма в 10 тысяч долларов. Также в ходе соревнования выплачивалось 15 тысяч
долларов за атаку одного из четырех самых популярных смартфонов. Правила
соревнования остались практически теми же и в этом году, за исключением того,
что телефон с операционной системой Symbian был заменен на другой – с
операционной системой Windows Phone 7. Также, плата за взлом одного из браузеров
была повышена до 15 тысяч долларов.
У участников соревнования также будет преимущество – использование
непроницаемой кабины, не пропускающей радиоволны, чтобы они смогли
нацелиться напрямую на
baseband-процессоры телефонов, которые используются для передачи и приёма
радиосигналов в то время, как устройства работают в сотовых сетях. Для
сравнения, до этого большинство эксплойтов атаковали центральные процессоры,
которые отвечают за работу приложений телефона. Изоляционная кабина – защита,
позволяющая атакующему создать собственную сотовую сеть в небольшом пространстве
без влияния