W ciągu kilku ostatnich lat przeglądarka Google Chrome wychodziła zwycięsko z konkursu hakerskiego Pwn2Own. Powodem były bardzo dobre zabezpieczenia samej przeglądarki oparte o tak zwany mechanizm ‘sandbox’ oraz częsta aktualizacja. Wszystko co dobre musi się kiedyś skończyć. Google Chrome w tym roku padło ofiarą hakerów jako pierwsze. Pozostałe przeglądarki na razie wytrzymały ataki
To dosyć niecodzienny wynik. Do tej pory jedynymi przeglądarkami które zwycięsko wyszły z Pwn2Own były przeglądarki Chrome oraz IE9 (IE8 zostało pokonane wielokrotnie). Czym różnią się przeglądarki Chrome/IE9 od pozostałych? Mają odmienną architekturę która została zaprojektowana dla maksymalnego bezpieczeństwa.
Obie przeglądarki nie działają jako pojedynczy proces ale jako wiele odizolowanych od siebie procesów w których wykonują się poszczególne czynności. Każda ze stron które są wyświetlane w przeglądarce obsługiwana jest przez osobny proces. Procesy renderujące strony uruchomione są z ograniczonymi prawami. Dzięki temu gdy haker przełamuje zabezpieczenia przeglądarki przejmuje tylko jeden z procesów który znajduje się w tzw. piaskownicy o ograniczonych prawach.
Drugim ważnym (o ile nie ważniejszym) zabezpieczeniem jest… częsta aktualizacja zabezpieczeń. W Google chrome rocznie znajdowanych jest 200-300 błędów w zabezpieczeniach. To więcej niż we wszystkich pozostałych przeglądarkach razem. Dlaczego tak duża liczba błędów nie stanowi problemu? Ponieważ błędy te są natychmiast poprawiane. O ich istnieniu nie dowiadujemy się w momencie powstania ‘exploitu’ ale z bloga informującego że błąd został właśnie naprawiony. Google aktualizuje swoją przeglądarkę dosłownie co kilka dni wypłacając spore nagrody dla każdego kto znajdzie w niej błędy.
Jednak zabezpieczenia te nie wystarczyły by w tym roku przetrwać konkurs Pwn2Own. Specjaliści z firmy VUPEN którzy zwyciężyli wprost powiedzieli że zależało im na tym by to właśnie Google zostało skompromitowane jako pierwsze. Chcieli udowodnić że przeglądarka określana w prasie jako “nie do złamania” jest tak samo podatna na ataki jak każda inna.
We wanted to show that Chrome was not unbreakable. Last year, we saw a lot of headlines that no one could hack Chrome. We wanted to make sure it was the first to fall this year
No i udowodnili. Google Chrome jest pierwszą przeglądarką która upadła Pozostałe na razie się trzymają. Nie wiadomo które z nich zostaną w tym razu pokonane a które przetrwają.
Co ciekawe nie zainteresowała ich nagroda wyznaczona przez Google. Nie zdecydowali się oni ujawnić w jaki sposób przełamali zabezpieczenia przeglądarki co jest warunkiem odebrania nagrody. Informacja ta zostanie ujawniona jedynie klientom firmy VUPEN.
Specjaliści od zabezpieczeń udowodnili po raz kolejny że nie istnieje kod którego nie da się złamać.
This just shows that any browser, or any software, can be hacked if there is enough motivation and skill