Chrome OS holder fast mot hackere på Pwnium 3

Pwn2Own 2013 og Pwnium 3 hackingkonkurranser kan ha vært begge på samme sted i forrige uke, spesielt CanSecWest-sikkerhetskonferansen i Vancouver, BC-men forskjellene i resultatene deres kunne ikke vært mer slående.

HP Security Research BlogHackers var vinnerne i årets Pwn2Own-konkurranse.

Pwn2Own 2013, holdt av HPs Zero Day Initiative (ZDI), fokuserte på nettlesere og nettleser-plugin-moduler i år, og det var en scene med utbredt figurativ blodsutgytelse (se resultatene til høyre) for programvaren som testes.

I Googles samtidige Pwnium 3, derimot, var det de hackere som ble beseiret, utilgjengelige da de skulle knekke Googles Linux-baserte Chrome OS-operativsystem.

[Videre lesing: Din nye PC n eeds disse 15 gratis, gode programmene]

$ 3.14159 millioner i premier

"Sikkerhet er en av kjernen i Chrome, men ingen programvare er perfekt, og sikkerhetsbullene går gjennom selv de beste utviklings- og gjennomgangsprosessene", skrev Chris Evans, medlem av Google Chrome Security Team, i et blogginnlegg som annonserer konkurransen i slutten av januar. "Derfor har vi fortsatt å engasjere seg med sikkerhetsforskningsfellesskapet for å hjelpe oss med å finne og rette opp sårbarheter."

Deltakere var pålagt å demonstrere et angrep på en base (WiFi) -modell av Samsung Series 5 550 Chromebook, som kjører siste stabile versjonen av Chrome OS.

Google tilbød også mye motivasjon: totalt $ 3,14159 millioner inspirert av nummeret "pi," sa Google, fordelt på $ 110,000 for en nettleser eller systemkompromiss og $ 150,000 for et kompromiss som fortsetter etter omstart.

Ingen vinnende oppføringer

"Vi tror at disse større belønningene gjenspeiler den ekstra utfordringen som er involvert i å takle sikkerhetsforsvaret til Chrome OS, sammenlignet med tradisjonelle operativsystemer," forklarer Evans.

GoogleThe new " seccomp-bpf 'sandbox-lag i Chrome OS legger ekstra sikkerhet (klikk på bildet for å forstørre.)

Heldigvis for Chromebook-brukere - men dessverre for konkurrerende hackere - lyktes ingen å få et kompromiss.

"Vi gjorde ikke motta noen vinnende oppføringer, men vi vurderer noe arbeid som kan kvalifisere som delvise fordeler, "les kunngjøringen av resultatene sist torsdag på Google +.

Linux-fordelen

Selvfølgelig bør det bemerkes at funnet av en Chrome utnytte to dager før, fikk Google til å lappe Chrome OS før Pwnium begynte, som påpekt i et blogginnlegg i forrige uke fra sikkerhetsfirmaet Sophos.

Men det faktum at ingenting annet ble oppdaget, er stort sett et bevis på at Chrome OS er basert på Linux, som allment anses å være langt sikrere enn sine proprietære kolleger.

Det er av mange grunner, inkludert måten tillatelser er tildelt og programvarens åpen kildekode-natur, men Chrome OS gir også fordelen av seccomp- bpf, en sandboxing-funksjon som nylig ble inkludert i Linux-kjernen.

Resultatet er i hovedsak "et lite filter i kjernen som raskt vil avvise mange av bergarter kastet av en angriper", som Google-programvareingeniør J ulien Tinnes forklart i Chromium bloggen i høst.

Bottom line? Hvis sikkerhet er en prioritet for deg, så er Linux-in Chrome OS eller en av de mange andre formene-veien å gå.