Online Tržište

Posljednjeg dana CanSecWest konferencije tokom koje se održavalo Pwnium takmičenje, Google Chrome je po treći put hakiran na način da je obiđen njegov toliko hvaljeni Sandbox.

Haker koji se predstavio samo kao PinkiePie kazao je da je prošli tjedan proveo radeći na ovom napadu. Napad kombinira tri do sada nepoznate ranjivosti sa kojim se uspijeva obezbjediti potpuni pristup sustavu na Dell Inspiron na kojem je ažurirani Window 7 i u potpunosti zakrpljena verzija Chrome preglednika.

PinkiePie navodi da su se sve tri ranjivosti odnosile na Chrome kod što je značilo da se kvalificirao za prvu nagradu takmičenja koj iznosi 60.000 dolara. Članovi Google tima je potvrdio ovo dostignuće i u manje od 24 časa uradio update Chrome-a koji popravlja ovaj propust.

Također, u srijedu je prvog dana takmičenja Rus Sergej Glaznov hakirao Chrome demonstrirajući dvije ranjivosti u njegovom kodu koje zaobilaze Sandbox. Google sigurnosni tim je nekoliko časova nakon potvrde ovog hakiranja uradio ažuriranje i zakrpio ove propuste.

Potvrđeno je i da je hack Francuske sigurnosne kompanije VUPEN iskoristio ranjivosti u Adobe Flash tako da će se morati zadovoljiti utješnom nagradom od 20.000 dolara.

Sve ove godine kako se tamičenje organizira Google Chrome je bio jedini pretraživač koji nije bio hakiran, njegov Sandbox je bio neprobojna barijera za sve one koji su to pokušali, sve do prije nekoliko dana.

Google tim navodi da su jako zadovoljni ovogodišnjim takmičenjem i da vrijednost nije u broju otkrivenih bugova, nego spoznaja koja dolazi promatranjem kako je jedan broj napada zaobišao vješto postavljenu obranu.

Ovog mjeseca kompanija Google platila je znanstveniku koji se bavi sigurnosti na Internetu rekordnih 31.336 dolara za obavještavanje o tri greške u tražilici Chrome.

Rekordni iznos Google-ovog “bug bounty” programa isplaćen je Ralf-Philipp Weinmann-u, znanstveniku suradniku na Sveučilištu u Luksemburgu. “Bug bounty” programa podrazumijeva da kompanija Google novčano nagradi svakoga tko otkrije grešku u njenom softveru.

Drago nam je što možemo objaviti da smo novčano nagradili Ralf-Philipp Weinmann-a sa 31.336 dolara u okviru Chromium nagradnog programa, otkrivanjem tri greške u kodu tražilice Chrome. Greške su demonstrirane i vrlo detaljno opisane,

navodi u priopćenju Ben Henry, Google tehnički voditelj Bug Bounty programa.

Ove tri greške iskorištavaju O3D, a JavaScript API (Application Programming Interface) dizajnirano za kreiranje interaktivnih 3D Web aplikacija. API i dodatak za podržanu tražilicu kreirani su od strane Google-a.

Važno je reći da su sve tri greške označene kao visokorizične, druge po ozbiljnosti na Chrome-ovom sustavu rangiranja ozbiljnosti ranjivosti.

Ova novčana nagrada je nešto veće nego što je to bilo uobičajeno za otkrivanje sličnih grešaka u Chrome međutim, prošlog kolovoza je kompanija najavila da će povećati novčane nagrade kako bi potakla ljude na otkrivanje i prijavljivanje grešaka u Chrome.

Google navodi da je u ovoj godini do sada isplatio gotovo 188.000 dolara nagrada za otkrivanje grešaka i propusta u Chrome i Chrome OS, uključujući i one na Pwn2Own i Google-ovim vlastitim Pwnium natječajima.

Program kompanije Google koji podrazumjeva novčano nagrađivanje svih onih koji pronađu neki sigurnosni propust u njenom pregledniku Chrome radi dovoljno dobro da je kompanija zaključila da je vrijeme da se dodaju nove novčane nagrade.

Google vjeruje da su manji sigurnosni propusti već pronađeni tako da je kompanija odlučila dodati novi financijski poticaja za sve one koji vole da pronalaze ovakve propuste.

Nedavno smo napravili analizu ovog programa i vidjeli da je došlo do značajnog pada u prijavljivanju sigurnosnih propusta u Chrome što je za nas jasan znak da je postalo sve teže pronaći sigurnosne propuste u našem pregledniku. Ovo je posljedica napora naše šire zajednice koja ga je učinila znatno jačim,

propćio je Chrome programer Chris Evans.

Dakle, kompanija Google odlučila je dodati novih 1.000 dolara bonusa na redovni poticaj koji vrijedi samo ako se ispune tri uslova. Bonus vrijedi ako je propust:

1. “iznimno iskoristiv” i ako dolazi sa demonstracijom
2. u open-source softver knjižnici koju koristi Chrome
3. u stabilnom području Chrome-a za koje Google smatra da su svi propusti već zakrpljeni

Google navodi da je do sada platio više od milijun dolara za pronalaženje sigurnosnih propusta u Chrome. Između ostalog, za otkrivanje propusta po 60.000 dolara dobili su Sergey Glazunov i PinkiePie.

Kompanija je jučer također objavila Chrome 21.0.1180.79 za Mac, Linux, Windows i Chrome Frame kako bi zakrpila propuste u Adobe Flash Player-u koji je ugrađen u Chrome-u.

Tokom Google Pwinium takmičenja koje se održava na CanSecWest konferenciji o bezbednosti u sredu u Vankuveru, ruski lovac na softverske propuste Sergej Glazunov demonstrirao je kako je iskoristio propust Chrome preglednika i u potpunosti porazio toliko hvaljeni Chrome Sandbox.

Google Chrome je smatran jednim od najbezbedijih Web preglednika baš zbog svoje bezbednosne sandbox arhitekture, koja uvodi ograničenja u interakciji sa operativnim sistemom i značajno ograničava šta napadač može da uradi ako se iskoristi neku od ranjivosti preglednika.

Ovogodišnji Pwnium ima nagradni fond od milion dolara. Nagrađuju se svi oni koj iskoriste neku vrstu propusta u Chrome-u. Najveća nagrada je 60.000 dolara i dodeljuje se onima koji demonstriraju ranjivost samog Google Chrome koda.

Prvi koji će zaraditi glavnu nagradu je Sergej Glazunov koji je tokom prvog dana takmičenja demonstrirao ranjivost i u potpunosti aobišao Chrome Sandbox.

Google Chrome tim je potvrdio ovu ranjivost čestitajući Sergej Glazunovu kao prvom koji je osvojio glavnu nagradu.

Sergej Glazunov nije jedini koji je probio Chrome na Pwn2Own takmičenju, tim istraživača iz Francuske sigurnosne kompanije VUPEN takođe je uspeo u tome. Ranjivost je iskorištava dve greške, jednu da zaobiđe DEP (Data Execution Prevention) i ASLR (address space layout randomization) na Windows OS, koje su dizajnirane za sprečavanje izvršenja zlonamjernog koda čak i onda kada se ranjivost pronađe i drugu za zaobilaženje Chrome Sandbox. Kompanija nije otkrila druge pojedinosti osim da je ranjivost pronađena u "default-noj" instalaciji Google preglednika pa stoga Chrome tim za sada sumnja da je VUPEN iskoristio ranjivost u Flash Player plug-in koji dolazi sa pretraživačem.

Ako se to pokaže kao tačno kompanija će za to dobiti samo utešnu nagradu od 20.000 dolara.

Takmičenje traje do petka tako da ostaje da se vidi da li će se pojaviti još neko ko će da konkureiše za osvajanje glavne nagrade.

Kompanija Google obećala je novčane nagrade u iznosu od milion dolara onima koji uspešno hakiraju njegov Chrome pretraživač na bezbednosnoj konferenciji CanSecWest koja će se održati sledeće nedelje.

Google će nagraditi takmičare sa nagradama u iznosu od 60.000, 40.000 i 20.000 dolara u zavisnosti od težine podviga demonstriranih na Windows 7 računarima koji koriste Chrome pretraživač. Kompanija će takođe svim pobednicima pokloniti i po jedan svoj Chromebook. Članovi bezbednosnog tima kompanije najavili su ovaj Pwnium konkurs na svom blogu.

Pwn2Own takmičenje organizuje se već šest godina a novćane nagrade se dodeljuju onima koji uspeju da iskoriste ranjivosti pretraživaća i drugog Internet softvera. Na prošlogodišnjem takmičenju, Internet Explorer i Safari su bili srušeni, ali niko nije ni pokušao da hakira Chrome (uprkos tome što je Google ponudio dodatnih 20.000 dolara pored 15.000 dolara koje su obezbedili organizatori takmičenja).

Google Chrome je trenutno jedini pretraživač koji nikada na Pwn2Own takmičenju nije srušen. Kao jedan od ključnih razloga za to dosadašnji učesnici takmičenja navode problem u zaobilaženju Google Sandbox bezbednosti.

Da bi mogli da konkurišu za osvajanje nagrada svi učesnici takmičenja moraju da dostave svoja dostignuća direktno kompaniji Google, i to je uslovljeno time da ta dostignuća nisu negde pre objavljena, na blogovima ili negde drugo.