|
Chỉ một người có thể còn sống và trong trường hợp này, nó đã là trình duyệt nổi tiếng của Google. iPhone, Safari, Explorer và thậm chí cả Firefox được thành lập đã rơi vào tay những hacker giỏi nhất trên thế giới, những người gặp nhau hàng năm tại Canada để cố gắng phá hủy các hệ thống nổi tiếng nhất hiện nay và chỉ ra các lỗi bảo mật của chúng. Tuy nhiên, họ không thể vi phạm chế độ hộp cát khắc nghiệt bảo vệ Chrome, một công cụ khổng lồ đã chống chọi lại các cuộc tấn công của các chuyên gia máy tính giỏi nhất hành tinh. |
Cuộc thi Pwn2Own hàng năm tại hội chợ bảo mật CanSecWest ở Vancouver cung cấp môi trường hoàn hảo cho các chuyên gia bảo mật CNTT giỏi nhất thế giới tham gia đấu tranh với tất cả các loại tiện ích và phần mềm nóng. Năm này qua năm khác, họ xoay xở để vượt qua các rào cản bảo mật mà các hệ thống đang được xem xét tìm cách áp đặt, nhưng chỉ một số ít vinh dự lọt vào cuối cuộc thi mà không gặp một thất bại nào.
Người đầu tiên gục ngã là chiếc iPhone thành công của Apple, Vincenzo Iozzo và Ralf Philipp Weinmann chỉ cần 20 giây để đánh lừa thiết bị được yêu cầu nhiều nhất vào thời điểm hiện tại. Tin tặc chỉ đưa iPhone (không jailbreak) vào một trang web do chúng phát triển trước đó, từ đó chúng sao chép toàn bộ cơ sở dữ liệu SMS (thậm chí cả những cái đã bị xóa) vào máy chủ của chúng. Họ tuyên bố rằng bất chấp những nỗ lực của Apple để ngăn chặn những lỗ hổng này, "cách họ thực hiện ký mã là quá khoan dung." Họ đã giành được 15.000 USD cho cuộc trình diễn tình báo này và ngay sau khi công ty quả táo sửa lỗi bảo mật, thông tin chi tiết về quyền truy cập sẽ được hiển thị.
Charlie Miller, Chuyên gia phân tích bảo mật chính tại Independent Security Assessuators, đã tìm cách hack Safari trên MacBook Pro bằng Snow Leopard và không có quyền truy cập vật lý, kiếm được 10,000 đô la. Con chó sự kiện cũ này quản lý để phá một thiết bị do Apple sở hữu hàng năm. Có vẻ như anh ấy đã nắm bắt được nhịp đập của thương hiệu. Sẽ không có hại gì nếu công ty thuê anh ta để xem liệu một lần và mãi mãi họ có thể chấm dứt các lỗi bảo mật trong sản phẩm của họ hay không.
Nhà nghiên cứu bảo mật độc lập Peter Vreugdenhil đã giành được số tiền tương tự cho vụ hack Internet Explorer 8, điều này không còn gây ngạc nhiên cho bất kỳ ai khi nhìn thấy ấn bản này và ấn bản khác, vì anh ta bị tấn công bởi các cuộc tấn công của bất kỳ chuyên gia nào đề xuất nó. Để hack IE8, Vreugdenhil tuyên bố đã khai thác hai lỗ hổng trong một cuộc tấn công gồm bốn phần đã bỏ qua ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention), được thiết kế để giúp ngăn chặn các cuộc tấn công trong trình duyệt. Như trong các lần thử khác, hệ thống đã bị xâm nhập khi trình duyệt truy cập vào một trang web đang lưu trữ mã độc. Phán quyết đã cho anh ta quyền đối với máy tính, mà anh ta đã chứng minh bằng cách chạy máy tính của máy.
Firefox cũng đã phải quỳ gối trước sự xảo quyệt của Nils, người đứng đầu bộ phận nghiên cứu tại MWR InfoSecurity, người Anh, người đã kiếm được 10,000 USD từ lỗ hổng trình duyệt đang khiến Microsoft không ngủ được. Nils cho biết anh đã khai thác một lỗ hổng tham nhũng bộ nhớ và cũng phải khắc phục ASLR và DEP nhờ một lỗi trong quá trình triển khai của Mozilla.
Và cuối cùng, thứ duy nhất vẫn đứng vững là Chrome. Cho đến nay, nó là trình duyệt duy nhất vẫn chưa bị đánh bại, điều mà nó đã đạt được trong phiên bản 2009 của sự kiện này diễn ra ở Canada và tìm cách cảnh báo người dùng về các lỗ hổng của chương trình. “Có những lỗ hổng trong Chrome, nhưng chúng rất khó khai thác. Họ đã thiết kế một mô hình 'hộp cát' (sandbox), rất khó bị xâm phạm ”, Charlie Miller, hacker nổi tiếng, người trong phiên bản này đã quản lý để giành quyền kiểm soát Safari trên Macbook Pro cho biết.
Fuente: Neoteo và Segu-Info và ZDNET