Sad već tradicionalno natjecanje hakera koji na različite načine pokušavaju probiti sigurnosne mehanizme web preglednika održano je i ove godine. Osim previranja oko samoga natjecanja ni rezultati nisu nimalo utješni – svi su web preglednici hakirani praktički u rekordnom vremenu! Znači li to da je surfanje sada nesigurnije?
[ Matija Gračanin ]
Sigurnosna konferencija "CanSecWest" od 2007. je pozornica za važno natjecanja hakera kojima je cilj pronaći i iskoristiti nađene propuste kako bi srušili sigurnosne mehanizme u softveru koji je predmet natjecanja, a to su najčešće web preglednici. Dosad je praksa bila da se sigurnosni propusti i točan način njihova korištenja ne objavljuju javno, već se cjelovito izvješće predavalo sponzoru koji ga je zatim davao tvrtkama proizvođačima hakiranog softvera. Natjecatelji su, pak, osvajali novčane nagrade i imali pravo zadržati hakirano računalo (ili uređaje) pa je to, uz ugled i medijsku slavu, bila dodatna nagrada. No za ovogodišnje natjecanje pravila su promijenjena što je dovelo do razilaženja između lanjskog sponzora, Googlea, i organizatora natjecanja, a na kraju i do odustajanja dosad vrlo uspješnih natjecatelja - točnije Charlieja Millera koji je prijašnjih godina otkrio više sigurnosnih propusta.
Ključni razlog razilaženja novo je pravilo po kojemu natjecatelji više ne moraju objasniti način na koji su otkrili propust niti kako su ga točno iskoristili. Budući da je Googleu poprilično stalo do sigurnosti Chromea, web preglednika pod njegovim okriljem koji već godinama odolijeva napadima hakera, takav mu se pristup nimalo nije svidio pa se povukao iz sponzorstva, ali je organizirao i vlastito natjecanje s raskošnim fondom nagrada od milijun dolara. Google će, tako, sa 60.000 dolara nagraditi one koji uspiju iskoristiti propust u Chromeu, ali koji se odnosi na njegov interni programski kod i mehanizme, dok će parcijalne propuste koji podrazumijevaju i eksterne module na koje Google ima manje utjecaja (kao npr. modul za prikazivanje sadržaja u Flashu), nagrađivati s manjim iznosima.
Kontroverzni pad Chromea
No ova će godina ostati upamćena po činjenici da je prvi put hakiran i Chrome! Naime, upravo na ovogodišnjem "Pwn2Own", grupa iz francuske sigurnosne tvrtke VUPEN poznate po pronalaženju propusta u softvere koja svoje spoznaje kasnije prodaje, svoja je nastojanja usmjerila upravo na Google Chrome. Već nakon prvih pet minuta Chrome je bio hakiran i probijen je njegov, barem dosad, vrlo siguran mehanizam sandbox koji onemogućava pokretanje malicioznog koda izvan izoliranog okružja, čime štiti sustav i podatke. Zahvaljujući tome, stekli su potpuni nadzor nad računalom sa 64-bitnim Windowsima 7. VUPEN-ovi su ljudi priredili web stranicu koja iskorištava nađeni sigurnosni propust te je, kao pokazni rezultat, pokrenut u Windowse ugrađen kalkulator, ali izvan Chromeova okružja sandbox.
Ali s obzirom da su ovogodišnja pravila promijenjena i VUPEN ne mora javno objaviti o kojoj je vrsti propusta riječ niti kako su ga iskoristili, ostaje nejasno jesu li doista uspjeli probiti same zaštitne mehanizme Chromea ili su se poslužili obilaznim metodama oslanjajući se na propustite eksternih modula na koje Google ima mnogo manji utjecaj. Time bi efektivno, tvrde čak i u Googleu, ovaj pokušaj zapravo bio nelegitiman jer nije hakiran sam Chrome, već dodatak koji s njime dolazi (sumnja se upravo na Flash). S druge strane, suosnivač VUPEN-a Chaouki Bekrar koji je sudjelovao u hakiranju Chromea, tvrdi da to uopće nije važno jer je predmet napada bio svježe instaliran Google Chrome koji je u konačnici iskorišten za stjecanje potpune kontrole nad računalom na kojem je bio instaliran. Ipak, hvali sigurnosne mehanizme ugrađene u Chrome, Googleove razvojne inženjere i posebice okružje sandbox za koje tvrdi da je najsigurnije koje se trenutno može naći. No nije utješno to što VUPEN neće javno razotkriti točnu metodu uspješnog zaobilaženja sandboxa, već to što će svoje otkriće zadržati za svoje klijente. Doduše, prodat će prava na sigurnosnu ranjivost koju je koristio pri ovome napadu.
Nesigurni preglednici
Drugim riječima, Google će imati posla u identificiranju propusta zbog kojega je zaobiđen sandbox mehanizam, bez obzira je li propust nađen u samome programskom kodu Chromea ili nekog vanjskog modula. Međutim, nije Google jedini u problemima nakon ovogodišnjeg natjecanja. Budući da su predmetom natjecateljski raspoloženih hakera bili svi važniji web preglednici, nijedan preglednik nije ostao neokrznut. Internet Explorer, po statistikama i dalje globalno najzastupljeniji preglednik, također je poslužio za stjecanje ovlasti nad računalom. Iza toga propusta opet stoji VUPEN koji tvrdi da ranjivost datira još iz doba Internet Explorera 6 (aktualna je inačica 9), ali i da će njome sigurno biti obuhvaćena i 10. inačica Explorera koja će raditi na Windowsima 8. Napadnut je i Mozillin Firefox kojeg je uspješno hakirao dvojac sigurnosnih stručnjaka Vincenzo Iozzo i Willem Pinckaers.
Bez obzira što ranjivosti još nisu sanirane, neupitno je da će se to uskoro dogoditi, a kako ranjivosti nisu javno objavljene, vjerojatnost da će biti iskorištene za uspješne napade, nije velika. Ipak, to ne znači da i dalje ne treba biti oprezan kod odabira web preglednika i zanemarivati redovita ažuriranja kako browsera, tako drugih aplikacija te, napokon, čitavog operativnog sustava. Osim toga, bez obzira što očito postoji metoda kojom se Chrome može iskoristiti za uspješan napad na računalo, on i dalje ostaje najstabilniji i najsigurniji web preglednik kojeg je moguće i dodatno osigurati, ako već ničim drugim, onda isključivanjem dodatnih modula za koje se sumnja da su bili osnovica uspješnog napada.