Online Tržište

Tokom Google Pwinium takmičenja koje se održava na CanSecWest konferenciji o bezbednosti u sredu u Vankuveru, ruski lovac na softverske propuste Sergej Glazunov demonstrirao je kako je iskoristio propust Chrome preglednika i u potpunosti porazio toliko hvaljeni Chrome Sandbox.

Google Chrome je smatran jednim od najbezbedijih Web preglednika baš zbog svoje bezbednosne sandbox arhitekture, koja uvodi ograničenja u interakciji sa operativnim sistemom i značajno ograničava šta napadač može da uradi ako se iskoristi neku od ranjivosti preglednika.

Ovogodišnji Pwnium ima nagradni fond od milion dolara. Nagrađuju se svi oni koj iskoriste neku vrstu propusta u Chrome-u. Najveća nagrada je 60.000 dolara i dodeljuje se onima koji demonstriraju ranjivost samog Google Chrome koda.

Prvi koji će zaraditi glavnu nagradu je Sergej Glazunov koji je tokom prvog dana takmičenja demonstrirao ranjivost i u potpunosti aobišao Chrome Sandbox.

Google Chrome tim je potvrdio ovu ranjivost čestitajući Sergej Glazunovu kao prvom koji je osvojio glavnu nagradu.

Sergej Glazunov nije jedini koji je probio Chrome na Pwn2Own takmičenju, tim istraživača iz Francuske sigurnosne kompanije VUPEN takođe je uspeo u tome. Ranjivost je iskorištava dve greške, jednu da zaobiđe DEP (Data Execution Prevention) i ASLR (address space layout randomization) na Windows OS, koje su dizajnirane za sprečavanje izvršenja zlonamjernog koda čak i onda kada se ranjivost pronađe i drugu za zaobilaženje Chrome Sandbox. Kompanija nije otkrila druge pojedinosti osim da je ranjivost pronađena u "default-noj" instalaciji Google preglednika pa stoga Chrome tim za sada sumnja da je VUPEN iskoristio ranjivost u Flash Player plug-in koji dolazi sa pretraživačem.

Ako se to pokaže kao tačno kompanija će za to dobiti samo utešnu nagradu od 20.000 dolara.

Takmičenje traje do petka tako da ostaje da se vidi da li će se pojaviti još neko ko će da konkureiše za osvajanje glavne nagrade.

Facebook je odlučio da počne da plaća hakerima za pronalazak bugova na njegovom web sajtu. Najpopularnija društvena mreža tako je krenula stopama kompanije Google i Mozilla injihovog "Bug Bounty" programa. Na primjer, hakeru koji otkrije bug koji utječe na sigurnost,neki scripting nedostatak ili sl., Facebook će platiti 500 dolara. Ako se potvrdi da se radi o zaista značajnim nedostacima, Facebook će platiti mnogo više, detalji nisu precizirani.

Facebook će lansirati novi Whitehat haker portal gdje će svi zainteesirani moći da se prijave za program i prijavljuju pronađene bugove.

Mnogi hakeri rado prijavljuju greške koje pronađu u softveru ili web stranici i tako stiću ugled kod drugih. Pronalaženje značajnog buga na sajtu kao što je Facebook može pomoći u hakerskoj karijeri, pa i slavni, jer će tako nešto veliki broj medija prenijeti milionskom auditoriju.

U posljednjih nekoliko godina, kompanije su pokretale ovakve programe poticanja hakera za pronalazak bugova kako bi oni šutjeli o problemima koje su pronašli, sve dok se oni ne saniraju. Pa tako, kompanija Google plaća između 500 i 3,133.70 dolara, ovisno o težini pogreške.

Google je počeo plaćati za pronađene greške u browser-u početkom 2010 godine, a zatim je u studenom proširio taj program na sva svoja web svojstva.

Ovaj nagradni program je Google-u pomogao da otkrije veliki broj grešaka u programiranju u posljednjih osam mjeseci, od kojih je većina bila u Google-ovim manje poznatim proizvodima. Vrlo smo zadovoljni uspjehom našeg programa za otkrivanje pogreški i ranjivosti do sada. Mi smo već dali 300.000 dolara za razne zanimljive pogreške,

priopćio je glasnogovornik kompanije Google.

Facebook navodi da trenutno ima između 30 i 50 kontakata svaki tjedan sa hakerima koji ga obavještavaju o bugovima koje su uočili a većinom se radi o cross-site scripting ili cross-site request. To su vrlo uobičajene pogreške u Web programiranju koje prevaranti mogu zlorabiti protiv korisnika Facebooka.

Facebook održava dobre odnose sa hakerskom zajednicom, pa tako već dvije godine učestvuje u sponzoriranju hakerske Defcon konferencije. Na pitanje da to obrazloži, predstavnici Facebook-a navode da je to odlično mjesto za regrutiranje novih talenata i educiranja njihovih djelatnika sigurnosti. Također ističu da ni na jednu drugo konferenciju ne šalju tako veliki broj ljudi, niti se toliko pripremaju, kao što je to slučaj sa Defcon konferencijom.

Novi Intel 6 Series čipset, kodnog naziva Cougar Point, tek što je izašao a već zadaje ogromne glavobolje kompaniji. Naime, pokazalo se da novi Intel 6 ima hardverski „bug“ koji nije moguće riješiti softverskom zakrpom. Radi se o problemu sa SATA kontrolerom na čipsetu (koji povezuje uređaje kao što su HDD i DVD) i koji može dovesti do degradacije performansi na portovima tijekom vremena i smanjenjem brzine transfera podataka na I/O uređajima.

Sve isporuke čipseta proizvođačima matičnih ploča su obustavljene, a za nove isporuke se čeka implementacija hardverske „zakrpe“ na čipu. Također se planira i povlačenje već isporučenih čipseta s tržišta što će kompaniju Intel prema vlastitim procjenama stajati oko 1 milijarde dolara.

Čip je isporučen u stolnim računalima tek od 9. siječnja, a samo druga generacija Core i5 i Core i7 quad core baziranih sustava će biti pogođena. Oni su među najsnažnijim računala koja su trenutno na raspolaganju tržištu, te se koriste za pokretanje zahtijevnih aplikacija kao što su one za video renderiranje. Prijenosna računala koriste drugačiji čip, kodnog naziva Huron Bridge.

Valja imati na umu da je prošli mjesec postignut dogovor sa kompanijom Nvidia o isplati 1,5 milijardi dolara zbog povrede licence od strane Intela, tako da se troškovi Intela samo gomilaju.

Google će od sada plaćati ako pronađete i izvestite o njegovim ranjivostima. Kompanija je to saopštila juče i to važi za sajtove kao što su google.com, youtube.com i orkut.com. Ukoliko prijavite kvalifikovanu grešku, možete očekivati da će vas Google nagraditi sa najmanje 500 dolara.

Google je ranije imao sličan program kada je pokrenuo Chrome projekat. Stoga, pronađite grešku, prijavite je i naplatite svoj trud.

Nagrade se kreću u rasponu od 500 dolara do 3133,70 dolara.

Interesantna brojka 3133,7, razumete, 1337?

Google prvenstveno traga za greškom u XSS varijanti.

Ovo je veoma pametan potez od strane Google-a, da privuče hakere i developere da pronađu te greške koje bi kasnije mogle da budu problem.