V těchto dnech (9. - 11. března 2011) probíhala tradiční hackerská událost - Pwn2Own. Při této příležitosti se sjedou na určité místo nejlepší bezpečnostní odborníci a pokoušejí se najít slabiny v nejrozšířenějších webových prohlížečích a mobilních systémech. Komu se podaří kompromitovat určitý prohlížeč nebo mobilní systém, získá 15 000 dolarů a notebook, na kterém demonstruje zranitelnost. Z webových prohlížečů se účastnila většina nejrozšířenějších prohlížečů - tedy IE, Firefox, Chrome a Safari, Opera se do boje nezapojila.
Zajímavostí pak je, že Google si v této soutěži věřil natolik, že vypsal dalších 20 000 dolarů z vlastní kapsy, pokud se někomu podaří pomocí jeho prohlížeče kompromitovat hostitelský systém. Potencionální objevitel chyby v Chrome si tak mohl za jeden den přivydělat 35 000 dolarů, tedy 612 294 českých korun, což je opravdu velké množství peněz.
Letošní ročník akce se odehrával během konference CanSecWest ve Vancouveru v Kanadě. O průběhu Pwn2Own se můžete dočíst například zde (1. díl) a zde (2. díl). Já bych se rád zaměřil na výsledek, přitom bych se zaměřil na internetové prohlížeče.
Jako první padl Safari, který byl následován IE 8. Ku prospěchu IE je nutné dodat, že jeho "prolamování" a kompromitace systému byla komplikovanější, než v případě Safari - musely se využít chyby v cílovém OS. Ke kompromitaci Safari stačilo využití chyby ve Webkitu, který Safari používá.
Chrome i Firefox tak zůstali po prvním dni nepřekonáni. Ve druhém dni se týmy rozhodly odstoupit a nepokračovat tak v boji o peníze. Google Chrome a Firefox tak zůstali definitivně neporaženi a 35 000 dolarů v případě Chrome tak nenašlo svého adresáta.
Jak vyplývá ze stránky na Wikipedii, tak Google Chrome je jediným prohlížečem, který nebyl na této soutěži nikdy (mezi léty 2009 - 2011) pokořen, soutěže se zúčastňuje od roku 2009, soutěž pak existuje o dva roky déle. Firefox byl překonán v roce 2009, ostatní pak byly taktéž alespoň jednou poraženi v letech 2009-11.
Důvody úspěchu Google Chrome jsou dobře známy - sandbox a odměňování za hledání chyb v prohlížeči. Principem sandboxu (ve zkratce) je, že odděluje hostitelský systém od webových stránek další vrstvou - tzv. sandboxem, webové stránky tak neví nic o hostitelském systému, ani o dalších stránkách běžících v jiných oknech prohlížeče. Hacker by tak musel najít chybu jak v sandboxu, tak i v prohlížeči jako takovém.
Google proslavil hlášení bezpečnostních chyb za úplatu pro kohokoli na světě. Stačí tak odhalit chybu, nahlásit ji a počkat na reakci Google. Při vydání nové stabilní verze prohlížeče pak nálezce patřičně odmění dle závažnosti chyby, např. v lednu 2011 tak vyplatil jednomu nálezci přes 7 000 dolarů (122 458 českých korun) za objevení několika chyb, celkem pak vyplatil za stejný měsíc 14 000 dolarů ( 244 917 českých korun). Firefox začal odměňovat stejným způsobem jako Google (částky se ale mírně liší) chvíli po Google.
V době psaní tohoto článku ještě nebyly zveřejněny výsledky třetího dne akce, pokud by se náhodou něco změnilo a Google Chrome nebo Firefox byl nakonec kompromitován, tak článek bude doplněn. Jelikož se ale týmy rozhodly odstoupit, pak by se již ale nemělo nic měnit.
Reference:
viz článek
Žádné komentáře:
Okomentovat