terça-feira, 8 de fevereiro de 2011

Desafio

US$20 mil para quem hackear o Chrome
Valor será pago pelo Google

O Google informou que pagará US$ 20.000 para o primeiro “pesquisador de segurança” que hackear com sucesso seu navegador Chrome na competição de hackers Pwn2Own.

No Pwn2Own deste ano, os hackers atuarão contra máquinas executando Windows 7 ou Mac OS X e tentarão derrubar o Internet Explorer, Firefox, Safari e o Google Chrome.

O primeiro a hackear o IE, Firefox e Safari e a máquina executando o navegador receberá US$ 15.000.

A novidade deste ano é a participação do Google. A empresa é o primeiro fornecedor de navegador a colocar dinheiro diretamente no prêmio.

As regras para o Chrome são ligeiramente diferentes do que para outros navegadores, porque ele é o único dos quatro que usa um "sandbox", uma defesa anti-exploit. Um sandbox isola o navegador dos processos do sistema, impedindo que um malware fuja do aplicativo - neste caso o Chrome - para causar estragos no computador.


Para quebrar a segurança de um programa como o Chrome que usa sandbox, os hackers precisam explorar não uma, mas duas vulnerabilidades: a primeira para permitir que seu código de ataque escape do sandbox e a segunda para explorar um bug no próprio Chrome.

O Internet Explorer 8 oferece algo similar com seu Modo Protegido no Windows Vista e Windows 7.



Google Chrome
Outros desenvolvedores de software têm seguido os passos do Chrome para tentar tornar seus aplicativos mais seguros. No ano passado a Adobe adicionou um sandbox – inspirado em uma tecnologia da Microsoft – ao seu popular programa Acrobat Reader.

Para sair com os US$ 20.000 do Google no primeiro dia do Pwn2Own, o hacker deverá encontrar e explorar duas vulnerabilidades no código do Chrome.
Somente no segundo e terceiro dias da competição eles poderão explorar um bug não no Chrome, mas sim em um de seus plugins. Um ataque bem-sucedido no segundo e terceiro dia ainda colocará os US$ 20.000 no bolso do vencedor, mas apenas US$ 10.000 virão do Google e o restante dos patrocinadores da conferência.

A participação do Google na Pwn2Own deste ano pode ser uma marca de sua confiança de que o Chrome não pode ser hackeado facilmente.

Embora o Chrome tenha sido um dos alvos no Pwn2Own desde 2009, nenhum hacker conseguiu explorar bugs do navegador e levar o dinheiro do prêmio.

Em 2009, um hacker alemão formado em Ciências da Computação e que se identificou apenas como Nils conquistou a tríplice coroa, explorando falhas no IE, Firefox e Safari ele levou na época para casa um total de US$ 15.000, US$ 5.000 por cada ataque bem sucedido.

Charlie Miller, hacker que já ganhou prêmios no Pwn2Own por três anos consecutivos, não iria tentar repetir a proeza, mas na quarta-feira ele notou os US$ 20.000 para o Chrome e disse no Twitter: "Pwn2own agora oferecendo 20k por ataque ao Chrome, deve ser difícil mas precisamos testar o quanto o navegador é seguro".

Miller é uma autoridade de hacking em Mac. Ele é coautor do The Mac Hacker's Handbook com Dino Dai Zovi, um vencedor de Pwn2Own de 2007 e explorou falhas no Safari com sucesso nos últimos três anos.

Também haverão prêmios de US$ 15.000 na Pwn2Own para os “pesquisadores” tentarem explorar smartphones que executam o iOS da Apple, Android do Google, Windows Phone 7 da Microsoft 7 e RIM BlackBerry OS. Ataques bem sucedidos contra smartphones com estes sistemas operacionais receberão US$ 15.000.

O desafio anual Pwn2Own começará no dia 9 de março durante a conferência de segurança CanSecWest em Vancouver, Canadá.

Nenhum comentário: