OS Chrome berpegang teguh pada peretas di Pwnium 3

Kompetisi peretasan Pwn2Own 2013 dan Pwnium 3 mungkin terjadi di lokal yang sama minggu lalu - khususnya, konferensi keamanan CanSecWest di Vancouver, BC - tetapi perbedaan hasil mereka tidak mungkin lebih mengejutkan.

HP Security Research BlogHackers adalah pemenang dalam kompetisi Pwn2Own tahun ini.

Pwn2Own 2013, yang diselenggarakan oleh Zero Day Initiative HP (ZDI), berfokus pada browser dan plug-in browser tahun ini, dan itu adalah adegan pertumpahan darah figuratif yang luas (lihat hasil di sebelah kanan) untuk perangkat lunak yang sedang diuji.

Di Pwnium 3 Google yang bersamaan, di sisi lain, itu adalah peretas yang kalah, tidak mampu karena mereka memecahkan sistem operasi Chrome OS berbasis Linux Google.

[Bacaan lebih lanjut: PC baru Anda n memberikan 15 program gratis dan istimewa ini

$ 3,14159 juta dalam hadiah

"Keamanan adalah salah satu prinsip inti Chrome, tetapi tidak ada perangkat lunak yang sempurna, dan bug keamanan lolos dari proses pengembangan dan peninjauan terbaik," tulis Chris Evans, anggota Tim Keamanan Google Chrome, dalam posting blog yang mengumumkan kompetisi pada akhir Januari. “Itulah sebabnya kami terus terlibat dengan komunitas riset keamanan untuk membantu kami menemukan dan memperbaiki kerentanan.”

Peserta diminta untuk mendemonstrasikan serangan terhadap model dasar (WiFi) dari Samsung Series 5 550 Chromebook, menjalankan versi stabil terbaru dari Chrome OS.

Google juga menawarkan banyak motivasi: total $ 3,14159 juta-terinspirasi oleh angka "pi," kata Google-dipecah menjadi $ 110.000 untuk browser atau kompromi sistem dan $ 150.000 untuk kompromi yang tetap ada setelah reboot.

Tidak ada entri pemenang

"Kami percaya hadiah yang lebih besar ini mencerminkan tantangan tambahan yang terlibat dengan menangani pertahanan keamanan Chrome OS, dibandingkan dengan sistem operasi tradisional," jelas Evans.

GoogleBaru ' lapisan sandbox seccomp-bpf 'di Chrome OS menambahkan keamanan ekstra (Klik gambar untuk memperbesar.)

Untungnya bagi pengguna Chromebook-tapi sayangnya untuk para peretas yang bersaing - tidak ada yang berhasil mencapai kompromi penuh.

“Kami tidak terima setiap entri pemenang tetapi kami mengevaluasi beberapa pekerjaan yang dapat dikualifikasikan sebagai eksploitasi parsial, ”bunyi pengumuman hasil Kamis lalu di Google +.

Keuntungan Linux

Tentu saja, perlu dicatat bahwa penemuan Chrome mengeksploitasi dua hari sebelumnya memungkinkan Google untuk menambal Chrome OS sebelum Pwnium dimulai, seperti yang ditunjukkan dalam posting blog minggu lalu dari perusahaan keamanan Sophos.

Namun, fakta bahwa tidak ada yang lain ditemukan sebagian besar merupakan bukti fakta bahwa Chrome OS didasarkan pada Linux, yang secara luas dianggap jauh lebih aman daripada rekan-rekan proprietarynya.

Itu karena berbagai alasan, termasuk cara perizinan ditugaskan dan sifat sumber terbuka perangkat lunak, tetapi Chrome OS juga menambahkan keuntungan dari seccomp- bpf, fitur sandboxing yang baru-baru ini dimasukkan dalam kernel Linux.

Hasilnya, pada intinya, adalah "filter kecil di kernel yang akan dengan cepat menolak banyak batu yang dilemparkan oleh penyerang," sebagai perancang perangkat lunak Google J ulien Tinnes menjelaskan di Blog Chromium musim gugur yang lalu.

Intinya? Jika keamanan adalah prioritas untuk Anda, maka Linux-in Chrome OS atau salah satu dari banyak bentuk lainnya - adalah cara untuk pergi.