Chrome OS blijft fel tegen hackers op Pwnium 3

De Pwn2Own 2013 en Pwnium 3 hackingwedstrijden hebben mogelijk vorige week plaatsgehad in dezelfde regio, met name de CanSecWest-veiligheidsconferentie in Vancouver, BC, maar de verschillen in hun uitkomsten konden niet opvallender zijn geweest.

HP Security Research BlogHackers waren de winnaars in de Pwn2Own-competitie van dit jaar.

Pwn2Own 2013, gehouden door HP's Zero Day Initiative (ZDI), dit jaar gericht op browsers en browserplug-ins, en het was een scène van wijdverspreid figuratief bloedvergieten (zie resultaten rechts) voor de software die getest wordt.

In Google's gelijktijdige Pwnium 3 daarentegen waren het de hackers die werden verslagen, niet in staat om het Linux-gebaseerde Chrome OS-besturingssysteem van Google te kraken.

[Meer informatie: uw nieuwe pc n eeds deze 15 gratis, uitstekende programma's]

$ 3.14159 miljoen aan prijzen

"Beveiliging is een van de basisprincipes van Chrome, maar geen enkele software is perfect en beveiligingsbugs glippen door zelfs de beste ontwikkelings- en beoordelingsprocessen," schreef Chris Evans, lid van het Google Chrome Security Team, in een blogpost die de competitie eind januari aankondigde. "Daarom zijn we contact blijven houden met de veiligheidsonderzoeksgemeenschap om kwetsbaarheden te vinden en op te lossen."

Deelnemers moesten een aanval demonstreren op een basis (WiFi) -model van de Samsung Series 5 550 Chromebook, waarop de nieuwste stabiele versie van Chrome OS.

Google bood ook veel motivatie: een totaal van $ 3,14159 miljoen - geïnspireerd door het aantal "pi", zei Google - opgesplitst in $ 110.000 voor een browser of systeemcompromis en $ 150.000 voor een compromis dat blijft bestaan ​​na opnieuw opstarten.

Geen winnende inzendingen

"We zijn van mening dat deze grotere beloningen een weerspiegeling zijn van de extra uitdaging die gepaard gaat met het aanpakken van de beveiliging van Chrome OS, in vergelijking met traditionele besturingssystemen," legt Evans uit.

GoogleThe new ' seccomp-bpf 'sandbox-laag in Chrome OS voegt extra beveiliging toe (Klik op afbeelding om te vergroten.)

Gelukkig voor Chromebook-gebruikers, maar helaas voor de concurrerende hackers, is niemand erin geslaagd een volledig compromis te bereiken.

"We hebben niet te ontvangen alle winnende inzendingen, maar we evalueren sommige werken die mogelijk als gedeeltelijke exploits kwalificeren, "lees de aankondiging van de resultaten afgelopen donderdag op Google +.

Het Linux-voordeel

Natuurlijk moet worden opgemerkt dat de ontdekking van een Chrome exploiteerde twee dagen van tevoren Google toestemming om Chrome OS te patchen voordat Pwnium begon, zoals vorige week werd aangegeven in een blogpost van beveiligingsbedrijf Sophos.

Toch is het feit dat niets anders werd ontdekt grotendeels een bewijs van het feit dat Chrome OS is gebaseerd op Linux, dat algemeen als veel veiliger wordt beschouwd dan zijn eigen tegenhangers. Dat is om verschillende redenen, inclusief de manier waarop rechten worden toegewezen en de open source aard van de software, maar Chrome OS voegt ook het voordeel van seccompu- bpf, een sandboxing-functie die onlangs in de Linux-kernel was opgenomen.

Het resultaat is in wezen "een klein filter in de kernel dat snel veel van de rotsen van een aanvaller zal verwerpen", als Google-software engineer J ulien Tinnes legde afgelopen najaar uit op de Chromium-blog.

Conclusie? Als beveiliging een prioriteit voor u is, is Linux, in Chrome OS of een van de vele andere vormen, de juiste keuze.