Muốn nhận 20.000$ từ Google? Hãy tấn công Chrome!



Đó là lời “thách thức” của Google trong cuộc thi Hacking thường niên Pwn2Own vào tháng Ba tới tại Hội nghị Bảo mật CanSacWest ở Vancouver, Canada. Gã khổng lồ Google quả là rất tự tin khi quyết định trao giải thưởng 20.000 USD tiền mặt và một máy tính xách tay Chrome CR-48 cho người đầu tiên có thể chứng minh họ tấn công thành công Chrome.

Chrome CR-48

Chrome CR-48

Theo một số chuyên gia bảo mật, tấn công được Chrome là một công việc khá là khó khăn vì nó sử dụng cơ chế bảo mật gọi là SandBox. Chức năng bảo mật này cơ bản là cách ly các tiến trình hệ thống và cung cấp tài nguyên để nó thực thi một cách riêng biệt, độc lập và không thể tiếp cận vào core của trình duyệt. Sự phân tách khiến cho các chương trình độc hại hoặc các chương trình có lỗi bảo mật đang bị khai thác không có khả năng dành quyền kiểm soát máy tính hoặc nếu có cũng bị hạn chế tối đa. Điều này có nghĩa để tấn công được Chrome bạn phải tấn công được SandBox sau đó mới khai thác các mã thực thi.

Trong lĩnh vực bảo mật máy tính, thuật ngữ chiếc “hộp cát” (sandbox) sẽ được dùng để chỉ một loại vật chứa vô hình, có thể cho phép chạy (từ bên trong nó) mọi ứng dụng không đáng tin cậy hoặc chứa đựng những nguy cơ tiềm ẩn đối với PC.

20.000$ là phần thưởng có giá trị cao nhất trong các cuộc thi Pwn2Own hàng năm. Nó chứng tỏ rằng Google khá tự tin vào trình duyệt của họ và cũng đúng khi trong vòng 2 năm qua, Chrome chưa bị tấn công và khai thác bởi các lỗi thực sự nghiêm trọng. 20.000$ sẽ là một kích thích lớn cho các đấu thủ cố gắng phá vỡ vỏ bọc an toàn của Chrome để Google xem xét mức độ an toàn. Nếu Chrome đứng vững, đây sẽ là một chiêu PR rất hiệu quả trong lần đầu tiên Google đưa sản phẩm của mình vào tham dự hội nghị này.

Google Chrome at Pwn2Own 2011

Google Chrome at Pwn2Own 2011

Cùng tham dự với Google Chrome là Microsoft Internet Explorer, Mozilla Firefox và Apple Safari. Tấn công thành công một trình duyệt sẽ được nhận phần thưởng là 5000$.

Năm 2009, một nhà khoa học máy tính người Đức đã tấn công thành công cả 3 trình duyệt IE, Firefox và Safari và dành trọn 15.000 USD tiền thưởng, với mỗi trình duyệt là 5.000 USD.

Charlie Miller, nhà nghiên cứu duy nhất dành được giải thưởng Pwn2Own trong 3 năm liên tiếp, cho biết sẽ không tiếp tục tham gia trong sự kiện năm nay. “Sẽ khó để lấy được 20.000 USD khi tấn công Chrome đây”, anh nói trên Twitter. “Song may mắn là Mac OS X không có sandbox”.

Miller chuyên nghiên cứu về máy Mac. Anh là đồng tác giả với Dino Dai Zovi trong giải thưởng tấn công máy Mac vào Pwn2Own năm 2007.

Cuộc thi Pwn2Own là nơi các nhà nghiên cứu hàng đầu trình diễn các kỹ năng của họ cũng như cung cấp miễn phí cho nhà sản xuất để nhà sản xuất có thể cung cấp bản vá kịp thời trong các phần mềm. Ở đây, cuộc thi cũng mang đến sự “đào sâu” trong quan hệ bảo mật của những trình duyệt khác nhau trên những hệ điều hành khác nhau.
Cụm từ viết tắt Pwn được biết đến như một hacker có thể chiếm quyền điều khiển chiếc máy tính và cụm từ 2Own có nghĩa là sẽ được sở hữu chiếc máy tính đó. Bất cứ lỗ hổng nào được dùng trong cuộc thi này sẽ phải đưa cho nhà tổ chức chương trình và sau đó họ sẽ chuyển tới nhà sản xuất

Bài viết có sử dụng nguồn tư liệu từ G.I.Joh, MACVN

About Author

Tuấn Anh

Là một người đam mê lập trình, hiện tập trung mảng phát triển ứng dụng web dựa trên nền tảng của WordPress. Đồng thời, nhằm đạt sự trọn vẹn trong công việc freelance, tôi đang học đồ hoạ, để có thể tự mình thiết kế layout, logo và những thứ khác liên quan đến đồ họa. Mục tiêu vài năm tới: Tôi sẽ là Full Web Developer = Graphics Design + Coding. Vietcoding Blog viết về WordPress, chia sẻ kinh nghiệm, mẹo vặt, viết plugin, làm theme và ôm ấp ý tưởng viết một Web Application Framework dựa trên WordPress. Đồ hoạ là chuyên mục đang được chuẩn bị trong tương lai.




Got Something To Say:

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

GENESIS FRAMEWORK