Muốn nhận 20.000$ từ Google? Hãy tấn công Chrome!

Published by Việt Coding on

Đó là lời “thách thức” của Google trong cuộc thi Hacking thường niên Pwn2Own vào tháng Ba tới tại Hội nghị Bảo mật CanSacWest ở Vancouver, Canada. Gã khổng lồ Google quả là rất tự tin khi quyết định trao giải thưởng 20.000 USD tiền mặt và một máy tính xách tay Chrome CR-48 cho người đầu tiên có thể chứng minh họ tấn công thành công Chrome.

Chrome CR-48

Chrome CR-48

Theo một số chuyên gia bảo mật, tấn công được Chrome là một công việc khá là khó khăn vì nó sử dụng cơ chế bảo mật gọi là SandBox. Chức năng bảo mật này cơ bản là cách ly các tiến trình hệ thống và cung cấp tài nguyên để nó thực thi một cách riêng biệt, độc lập và không thể tiếp cận vào core của trình duyệt. Sự phân tách khiến cho các chương trình độc hại hoặc các chương trình có lỗi bảo mật đang bị khai thác không có khả năng dành quyền kiểm soát máy tính hoặc nếu có cũng bị hạn chế tối đa. Điều này có nghĩa để tấn công được Chrome bạn phải tấn công được SandBox sau đó mới khai thác các mã thực thi.

Trong lĩnh vực bảo mật máy tính, thuật ngữ chiếc “hộp cát” (sandbox) sẽ được dùng để chỉ một loại vật chứa vô hình, có thể cho phép chạy (từ bên trong nó) mọi ứng dụng không đáng tin cậy hoặc chứa đựng những nguy cơ tiềm ẩn đối với PC.

20.000$ là phần thưởng có giá trị cao nhất trong các cuộc thi Pwn2Own hàng năm. Nó chứng tỏ rằng Google khá tự tin vào trình duyệt của họ và cũng đúng khi trong vòng 2 năm qua, Chrome chưa bị tấn công và khai thác bởi các lỗi thực sự nghiêm trọng. 20.000$ sẽ là một kích thích lớn cho các đấu thủ cố gắng phá vỡ vỏ bọc an toàn của Chrome để Google xem xét mức độ an toàn. Nếu Chrome đứng vững, đây sẽ là một chiêu PR rất hiệu quả trong lần đầu tiên Google đưa sản phẩm của mình vào tham dự hội nghị này.

Google Chrome at Pwn2Own 2011

Google Chrome at Pwn2Own 2011

Cùng tham dự với Google Chrome là Microsoft Internet Explorer, Mozilla Firefox và Apple Safari. Tấn công thành công một trình duyệt sẽ được nhận phần thưởng là 5000$.

Năm 2009, một nhà khoa học máy tính người Đức đã tấn công thành công cả 3 trình duyệt IE, Firefox và Safari và dành trọn 15.000 USD tiền thưởng, với mỗi trình duyệt là 5.000 USD.

Charlie Miller, nhà nghiên cứu duy nhất dành được giải thưởng Pwn2Own trong 3 năm liên tiếp, cho biết sẽ không tiếp tục tham gia trong sự kiện năm nay. “Sẽ khó để lấy được 20.000 USD khi tấn công Chrome đây”, anh nói trên Twitter. “Song may mắn là Mac OS X không có sandbox”.

Miller chuyên nghiên cứu về máy Mac. Anh là đồng tác giả với Dino Dai Zovi trong giải thưởng tấn công máy Mac vào Pwn2Own năm 2007.

Cuộc thi Pwn2Own là nơi các nhà nghiên cứu hàng đầu trình diễn các kỹ năng của họ cũng như cung cấp miễn phí cho nhà sản xuất để nhà sản xuất có thể cung cấp bản vá kịp thời trong các phần mềm. Ở đây, cuộc thi cũng mang đến sự “đào sâu” trong quan hệ bảo mật của những trình duyệt khác nhau trên những hệ điều hành khác nhau.
Cụm từ viết tắt Pwn được biết đến như một hacker có thể chiếm quyền điều khiển chiếc máy tính và cụm từ 2Own có nghĩa là sẽ được sở hữu chiếc máy tính đó. Bất cứ lỗ hổng nào được dùng trong cuộc thi này sẽ phải đưa cho nhà tổ chức chương trình và sau đó họ sẽ chuyển tới nhà sản xuất

Bài viết có sử dụng nguồn tư liệu từ G.I.Joh, MACVN

Quảng cáo tài trợ


Việt Coding

Là một người đam mê lập trình, tôi vọc vạch đủ thứ liên quan đến lập trình cho thoả chí tò mò. Hiện làm chủ yếu ở mảng phát triển ứng dụng di động cho iOS và Android với React Native. Thỉnh thoảng vọc vạch mấy thứ liên quan đến Internet of Things như Smart Home. Đang nghịch mấy con Raspberry Pi và thấy nó cũng thú vị :)

0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax