"Chrome" - vienintelė hakerių mūšio lauke išlikusi naršyklė

Nepriklausomai nuo to, ar jūs esate "Google Chrome" fanas ar ne, šiai naršyklei tenka atiduoti pagarbą kaip vienintelei atlaikiusiai pirmąją hakerių konkurso dieną, kai visos kitos naršyklės "iškėlė" baltas vėliavas per pirmąsias valandas ar net minutes.

Dar vakar paaiškėjo, kad "Safari" naršyklė "krito" vos per 10 sekundžių, o netrukus po to buvo įveiktos "Firefox" ir "Internet Explorer 8". Vienintelė "Chrome" sugebėjo atlaikyti pirmąją dieną, ir daugiausia dėka novatorišos saugumą užtikrinančios savybės kodiniu pavadinimu "Sandbox". Tačiau jos išlikimas dar diskutuotinas, kadangi antrąją dieną prizas už "nulaužimą" jau bus didesnis, o procese bus galima naudotis programų įskiepiais (plugins).

Naršyklių kūrėjai dažnai dalina drąsius teiginius apie savo greitą reagavimą į pranešimus apie galimus jų programinės įrangos pažeidimus ir jų gebėjimą iš anksto reaguoti į galimas atakas. Saugumas tampa vienu svarbiausių naujojo "naršyklių karų" frontu, tačiau tai taip pat yra vienas sudėtingiausiai išmatuojamų arba kiekybiškai apibūdinamų programinės įrangos aspektų.

Konferencija "CanSecWest" sutraukia gabiausius IT saugumo bendruomenės atstovus. Šis renginys ja pademonstravo, kad trys populiariausios naršyklės yra pažeidžiamos dėl saugumo spragų, nepaisant jų kūrėjų budrumo ir profesionalumo. "Firefox", "Safari" ir "Internet Explorer" buvo įveiktos surengto konkurso "Pwn2Own" metu. Konkurso nugalėtojams suteikiami tiek piniginiai, tiek daiktiniai prizai. Pirmąją konkurso dieną naršyklėms "nulaužti" nebuvo leidžiama naudoti įskiepių, tokių kaip "Flash" arba "Java", kurie paprastai naudojami kaip atakų vektoriai. Saugumo ekspertai konkursui paprastai ruošiasi gerokai anksčiau ir taip suranda greitus saugumo įveikimo receptus anksčiau termino.

Dar šio mėnesio pradžioje ankstesnių metų čempionas Charlie Miller'is žurnalistams sake, kad jis bandys išnaudoti "Mac OS X" operacinėje sistemoje veikiančios "Safari" saugumo spragą. Jo teigimu, ši naršyklė turėjo "kristi" pirmoji. Kaip jis ir prognozavo, taip ir atsitiko: jis iš anksto paruoštą nulaužimo programą  įvykdė pirmųjų sekundžių bėgyje. Kitas saugumo ekspertas, žinomas slapyvardžiu Nils , truko ilgiau, tačiau jis sugebėjo sėkmingai įveikti visas tris populiariausias naršykles.

Šie konkursai yra dalis besiplėtojančios komercializmo kultūros, supančios saugumo spragų išnaudojimo meną. Savo interviu Miller'is sakė, kad spragą, kurią jis išnaudojo konkurse, jis rado besiruošdamas konkursui dar praėjusiais metais. Vietoj to kad atskleistų šią informaciją visuomenei, jis nusprendė ją išsisaugoti šių metų konkursui, kadangi jame mokama tik už "naujas" saugumo spragas. Jo teigimu, tai yra jo dabartinės "filosofijos" dalis - nemokamai neatskleisti programų klaidų jų gamintojams. "Aš niekada veltui neatiduodu šių klaidų. Aš vykdau naują kampaniją ir vadinu ją 'Daugiau jokių nemokamų klaidų'. Pažeidžiamumai turi savo rinkos vertę, todėl nėra jokios prasmės sunkiai dirbti juos aptinkant, parašyti spragą išnaudojančią programą ir po to ją tiesiog atiduoti", sakė ekspertas. "Pavyzdžiui, "Apple" žmonėms už tokį patį darbą moka pinigus, jau vien iš to matosi kad tai turi vertę".

Miller'is žurnalistams taip pat atskleidė, kad "Safari" taikiniu pasirinko dėl paprastumo įveikti "Mac OS X" gynybos linijas. Jo teigimu, "Windows" įveikti sunkiau, iš esmės dėl jų adresų randomizavimo savybės ir kitų saugumo priemonių. "Chrome" jis sakosi yra radęs vieną saugumo klaidą, tačiau jos išnaudoti nepavyko, kadangi "Sandbox" ir operacinės sistemos saugumo priemonių derinys yra išties rimtas iššūkis. Tačiau žaidimas dar nesibaigė - antrąją konkurso dieną visų jėgos pasisuks būtent prieš "Chrome". Kas gali žinoti, gal kuris hakeris dar turi pasiruošęs vieną ar kelis "kozirius"...

   

Facebook komentarai