Chrome OS umulig at bryde ind i - Google slipper for at udbetale præmie i hackerkonkurrence

Illustration: Virrage Images/Bigstock
Googles styresystem Chrome OS er exceptionelt svært at hacke. Det lykkedes i hvert fald ikke for deltagerne i hackerkonkurrencen Pwnium 3.

Det lykkedes ikke for nogen af deltagerne på sikkerhedskonferencen CanSecWest i Vancouver, Canada, at hacke Googles styresystem Chrome OS.

Deltagerne i konkurrencen skulle demonstrere deres hacker-evner imod en Wi-Fi-udgave af Samsung Series 5 500 Chromebook med den nyeste udgave af Chrome OS. Det skriver Techchrunch.

Google havde ellers øremærket det dejligt nørdede beløb 3,14159 millioner dollars til formålet, men ved konferencens udgang havde ingen af pengene fundet en ny pung at bo i. Og det på trods af, at der også var udloddet præmier til delvise hacks.

Der bliver nu kigget på nogle indslag, der muligvis kan udløse en mindre sum, for som en talsmand fra Google udtaler:

»Det at arbejde sammen med de her mennesker er en af de bedste måder, vi kender til at sikre vores brugere, så vi er meget taknemmelige overfor dem, der har brugt deres tid på at hjælpe os med dette.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

Som de har gjort andre år med fx chrome, planlagt med at få en ny opdatering i D lige før code freeze deadline for den her konkurance og der ikke er nogen der har kunne udvikle et hack efter den deadline før konkurancen...

Og hvor mange procent af markedet for personlige enheder har chrome OS... Derfor er der meget lidt opmærksomhed på at udvikle eller undersøge chrome OS sikkerhed.

Google prøver at gøre det med den her høje pengepræmie men hvor mange forsøgte ? For hvis der ikke var nogen velforberedte angreb så er det jo ikke rigtigt en test... (Nej nogle halvstuderede røvere der prøvede at se omet chrome exploit også virkede er ikke et rigtigt forsøg...

Og hvor er macbooksne ? Dem det kræver NSA uddannede hackere til at bryde ind i.. Hvorfor er de ikke med i år ?

Men at nogen kan bryde ind i en ikke hærdet version af et kommercielt styresystem er ikke overaskende.

Det modsatte siger meget lidt mm man også har Info om hvem forsøgte at gøre det samt hvor lang tid de brugte på at udvikle hacket.

Kort sagt var der nogen med NSA på CVet der prøvede at hacke chrome os ?

  • 2
  • 21
Jakob Damkjær

Hvilket trebogstavsforkortet amerikansk føderalt efterretningsvæsen har Charles Milller arbejdet for ?

Hvem har vundet Mac kategorien i pwn2own i flere år i træk ?

Og nej Mac OS X er ikke smølfet ubrydbart... Specielt hvis man har flash og java indstalleret (dog mere sikkert end andre OSer da Apple har udvist en ret radikal holdning hvor bla Java og flash er blevet indaktiveret fra centralt hold så brugere ikke har kunne gøre noget usikkert ved at klikke på en knap.) og med gatekeeper har lukket ned for en del angrebs vektore (samtidigt med at åbne for at udviklere kan egensignere deres applikationer).

  • 0
  • 13
Jens Hansen

Da dette er en offentlig debat, tror jeg at ordet naiv bedst kendetegner din tiltro til OSX sikkerheden, Jakob.

Andre faktorer, end hvilken 3-bokstavs amerikansk instans man har været ansat i, afgør hvorvidt det er interessant at vise et exploit til Safari på OSX.

Det handler i disse konkurrencer i høj grad af, om det er interessant. Ikke om det kan lade sig gøre.

  • 8
  • 0
John Vedsegaard

Eftersom man skal bryde ind via en webside, er sikkerheden vel ikke udviklet af google i det hele taget, det må altså være lige så sikkert i alle andre Linux baserede systemer eller hvad?

  • 1
  • 4
Uffe Seerup

Jakob, hvis du har så meget tillid til Charlie Millers evner (fordi han har arbejdet hos NSA?) så har du vel også tillid til hans vurdering?

http://www.zdnet.com/blog/security/questions-for-pwn2own-hacker-charlie-...

Q: Why Safari? Why didn't you go after IE or Safari?

CM: It's really simple. Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for an exploit to work), Macs don't do. Hacking into Macs is so much easier. You don't have to jump through hoops and deal with all the anti-exploit mitigations you'd find in Windows.

It's more about the operating system than the (target) program. Firefox on Mac is pretty easy too. The underlying OS doesn't have anti-exploit stuff built into it.

og

Q: On a scale of 1-10, how impressive was the Nils' sweep of exploiting all three main browsers?

CM: I was surprised. For IE 8, I'd give him a 9 out of 10. For Safari, maybe a 2. It's just too easy to pop Safari. For Firefox on Windows, I give him a 10. That was the most impressive of the three. It's really hard to exploit Firefox on Windows.

Q: Really? What's the difference between what you can do on IE but can't do on Firefox?

CM: The technique he used works against IE but not Firefox. It allows you to place code in a specific spot in memory. Mark Dowd and Alex Sotirov talked about this at last year's Black Hat. You can use a technique to make .net not opt into the mitigations and jump over hurdled easily. With Firefox, you can't do that.

For all the browsers on operating systems, the hardest target is Firefox on Windows. With Firefox on Mac OS X, you can do whatever you want. There's nothing in the Mac operating system that will stop you.

Så din ekspert støtter vist ikke helt at det kræver en special NSA uddannelse at cracke OS X. Som han skriver er der en lang række af exploit mitigations i Windows som bare ikke findes i OS X.

  • 7
  • 0
Log ind eller Opret konto for at kommentere