hekerlar, bugüne kadar güvenlik duvarı aşılamamış olan tek internet tarayıcısı Chromeun, bu unvanını elinden aldı...
Googleın bu yıl altıncısı düzenlenen Pwn2own siber korsanlık yarışmasında, Windows 7 işletim sistemi kullanacak hekerlara, toplamda 1 milyon dolar ödül vaat edilmişti.
Kanadada düzenlenen yarışmaya katılan Fransız Vupen grubu, Googleın bugüne dek aşılamayan güvenlik sistemini beş dakikadan daha kısa sürede yıkmayı başardı.
Siber korsanlar, geçtiğimiz yıl düzenlenen Pwn2own yarışmasında Safari ve Internet Explorerın güvenlik duvarını aşmayı başarmış, chromea düzenlenen tüm saldırılar ise geri tepmişti. Vupen, Googleın yarışmada en başarılı olacak gruplara dağıtılacak para ödülü olan 60 bin doları da kazanmış oldu.
Bazı analistler ise Fransız grubun hükümetlere casusluk yazılımı satan bir şirket olduğunu ve güvenlik çevreleri tarafından şüpheyle karşılandığına dikkat çekti.
Vupen araştırma ekibinin başında yer alan Chaouki Bekrar, ZDNete yaptığı açıklamada, Chromeun alt edilemeyecek bir yazılım olmadığını göstermek istedik... Geçtiğimiz yıl, Chromeun güvenliğinin aşılamaladığına yönelik sayısız haber gördük. Bu başarıya bu yıl ulaşmak istiyorduk dedi.
Vupen, Pwn2own yarışmasının organizatörü ve sponsoru HPnin Zero Day Initiative (ZDI) programı tarafından 32 puanla ödüllendirildi ve birinciliğini de neredeyse garantiledi. Yarışma, Googleın vaat ettiği toplam bir milyon dolar ödüle ulaşılıncaya kadar devam edecek.
NASIL BAŞARDILAR?
Vupen, Chromeun güvenlik duvarını yıkmak için, tarayıcının bugüne dek fark edilmemiş iki zayıf noktasından yararlandı. Chrome, sahip olduğu sandbox güvenlik sistemi sayesinde, çalıştığı bilgisayardaki işletim sisteminden kendini izole ederek çalışabiliyor. Böylece, siber korsanlar bilgisayarın kontrolünü ele geçirse de Chromea sızamıyorlar.
Vupen, iki böcek kullanarak, Chromeu hem kod uygulamasıyla hem de sandbox sistemini deşifre ederek alt etti. Böceklerden biri, Chromeun kötü yazılımlara karşı koruyucu izolasyon sisteminden (sandbox) çıkış noktası bularak, tıpkı işletim sistemini ele geçirdiği gibi tarayıcı da ele geçirmeyi başardı.
CHROME EN GÜÇLÜ TARAYICI
Bekrar, ekibinin Pwn2own öncesinde Chromeun hassas noktalarını bulmak için altı hafta çalıştığını söyledi. Vupen, bu süre boyunca Mozilla Firefox ve Internet Explorera saldırmak için de yeni yöntemler bulduğunu belirtti.
Fransız heker, Sandbox sistemini aşarak tüm güvenlik duvarlarını yıkmak çok kolay bir iş değil... Şunu söyleyebilirm ki Chrome karşımıza bugüne dek çıkan en güçlü tarayıcı dedi.
Vupen, Chrome sandbox hakkında elde ettikleri bilgilerin saklı tutulacağını ve sadece müşterilerine sunulacağını ifade etti.
DAHA İYİ SİSTEMLER GELİŞTİREBİLMEK İÇİN...
Google Chrome güvenlik ekibinden Chris Evans ve Justin Schuh, Pwn2own yarışması öncesinde, Chrome güvenlik duvarının aşılmasının, daha iyi sistemler geliştirilmesi için gerekli olduğunu ve beyaz korsanların kendilerini geliştirebilmeleri adına ödül miktarını artırdıklarını belirtmişti.
Google, Microsoft ve Facebook gibi şirketlerin, artık hekerlarla çalışarak güvenlik sistemlerinin seviyelerini yükseltmeye çalıştıkları biliniyor. Goole, Pwn2own yarışmasının bu amacı taşıdığını önceden belirtmişti.
Google, Vupenın başarısından etkilendiklerini belirtti. Justin Schuh, Etkileyici bir saldırıydı... Chromeun nasıl çalıştığına dair derin bilgileri ortaya koydu. Çok zor bir iş başardılar ve bu yüzden onlara 60 bin dolar vereceğiz dediler.
Google Güvenlik Ekibi, Chromeun açıklarına yama yapmak için çalışmalara başladığını belirtti.
Kaynak
