Znajdź zawartość

Organizator hackerskiego konkursu Pwn2Own przewiduje, że Google Chrome przetrwa pierwszy dzień, a jego zabezpieczenia zostaną przełamanie nie wcześniej niż w drugim dniu zawodów, po zmianie zasad. Jestem pewien, że większość, jeśli nie wszystkie, przeglądarki zostaną złamane. Podejrzewam, że IE, Firefox i Safari padną ofiarami ataków, ale Chrome nie, nie w pierwszym dniu - stwierdził Aaron Portnoy, menedżer ds. bezpieczeństwa w TippingPoint. Chrome oprze się atakom i być może w ogóle nie padnie ofiarą hakerów, gdyż jako jedyna z przeglądarek korzysta z piaskownicy. Piaskownica (sandbox) izoluje poszczególne procesy, co oznacza, że aby przejąć kontrolę nad programem go wykorzystującym trzeba znaleźć nie jedną, a dwie dziury. Pierwszą, która pozwoli na wyjście poza piaskownicę i drugą, umożliwiającą złamanie zabezpieczeń samej przeglądarki. W pierwszym dniu konkursu uczestnicy będą mogli atakować przeglądarki tylko i wyłącznie za pomocą dziur w nich samych. W drugim i trzecim, będą mogli wykorzystywać dziury w innym oprogramowaniu, na przykład w systemie operacyjnym, by dostać się do przeglądarki. Przypomnijmy, że Google zaoferowało 20 000 USD za przełamanie zabezpieczeń Chrome'a. Ta oferta, jak przyznają organizatorzy konkursu, spowodowała, że Chrome został w ogóle uwzględniony w konkursie. Nie mieliśmy zamiaru włączać go do konkursu, gdyż już mamy w nim przeglądarkę działającą na silniku WebKit - mówi Portnoy. Przeglądarką tą jest Safari. Mimo, że atakując Chrome można wygrać więcej pieniędzy, Portnoy spodziewa się, że uczestnicy skupią się na Safari, gdyż działa ona na mniej zabezpieczonym systemie operacyjnym i nie korzysta z piaskownicy.

Microsoft informuje, że najnowsza wersja pakietu MS Office będzie korzystała z technologii "piaskownicy" (sandbox). Tym samym koncern przyznał, że nie jest w stanie powstrzymać cyberprzestępców przed wykorzystywaniem błędów w swoim oprogramowaniu. Analityk John Pescatore przypomina, że w ciągu ostatnich 18 miesięcy przestępcy wykorzystywali technologię "fuzzlingu", czyli umieszczania za pomocą automatycznych narzędzi swojego kodu w MS Office i szukania w ten sposób błędow. Źli faceci używają fuzzlingu, by znaleźć błędy w Office, a Microsoft teraz stwierdził: 'Ok, nie jesteśmy w stanie znaleźć i załatać wszystkich luk. Więc postanowiliśmy użyć piaskownicy, by je odizolować - mowi Pescatore. Sandbox pozwoli odizolować pliki tak, że nie będa one miały dostępu do innych plików i aplikacji. Jeśli nawet użytkownik uruchomi złośliwy spreparowany plik, to nie powinien on wyrządzić większych szkód. Z jednej strony technika sandbox powinna lepiej zabezpieczać użytkownika, z drugiej jednak, jako że jest to pewien rodzaj wirtualnej maszyny, będzie zużywała zasoby komputera.