Chrome OS holder fast mod hackere på Pwnium 3

HP Security Research BlogHackers var vinderne i dette års Pwn2Own-konkurrence.

Pwn2Own 2013, der blev afholdt af HPs Zero Day Initiative (ZDI), fokuserede på browsere og browser plug-ins i år, og det var en scene med udbredt figurativ blodsudgydelse (se resultaterne til højre) for den software, der testes.

I Googles samtidige Pwnium 3 var det på den anden side de hackere, der blev besejret, ude af stand til, da de skulle knække Googles Linuxbaserede Chrome OS-operativsystem.

[Yderligere læsning: Din nye pc n eeds disse 15 gratis, fremragende programmer]

$ 3.14159 millioner i præmier

"Sikkerhed er en af ​​kernen i Chrome, men ingen software er perfekt, og sikkerhedsfejl går igennem selv de bedste udviklings- og gennemgangsprocesser," skrev Chris Evans, medlem af Google Chrome Security Team, i et blogindlæg, der annoncerede konkurrencen i slutningen af ​​januar. "Derfor har vi fortsat med at samarbejde med sikkerhedsforskningsamfundet for at hjælpe os med at finde og rette op på sårbarheder."

Deltagerne var forpligtet til at demonstrere et angreb på en base (WiFi) model af Samsung Series 5 550 Chromebook, der kørte seneste stabile version af Chrome OS.

Google tilbød også masser af motivation: i alt $ 3.14159 millioner inspireret af nummeret "pi," sagde Google, fordelt på $ 110.000 for en browser eller systemkompromis og $ 150.000 for et kompromis som fortsætter efter genstart.

Ingen vindende indgange

"Vi mener, at disse større belønninger afspejler den ekstra udfordring, der er involveret i at tackle sikkerhedsforsvaret i Chrome OS i forhold til traditionelle operativsystemer," forklarer Evans.

Google Den nye ' seccomp-bpf 'sandbox-lag i Chrome OS tilføjer ekstra sikkerhed (Klik på billedet for at forstørre.)

Heldigvis for Chromebook-brugere - men desværre for de konkurrerende hackere - lykkedes det ikke at opnå et fuldstændigt kompromis.

"Vi gjorde ikke modtage nogen vindende indlæg, men vi vurderer noget arbejde, der kan kvalificere sig som delvise udnyttelser. "Læs meddelelsen om resultaterne i går torsdag på Google +.

Linux-fordelen

Det skal selvfølgelig bemærkes, at opdagelsen af ​​en Chrome udnytte to dage før, gav Google tilladelse til at patch Chrome OS, før Pwnium begyndte, som det blev påpeget i et blogindlæg i sidste uge fra sikkerhedsfirmaet Sophos.

Men det faktum, at intet andet blev opdaget, er stort set et bevis på, at Chrome OS er baseret på Linux, hvilket i vid udstrækning anses for at være langt mere sikkert end dets proprietære modparter.

Det er af mange årsager, herunder den måde, hvorpå tilladelser tildeles og softwareens open source-natur, men Chrome OS tilføjer også fordelen af ​​seccomp- bpf, en sandboxningsfunktion, der for nylig blev inkluderet i Linux-kernen.

Resultatet er i det væsentlige "et lille filter i kernen, der hurtigt vil afvise mange af stenene kastet af en angriber", som Google software engineer J ulien Tinnes forklaret på Chromium blog sidste efterår.

Bottom line? Hvis sikkerhed er en prioritet for dig, så er Linux-in Chrome OS eller en af ​​dens mange andre formularer den rigtige vej.