Chrome OS tiene duro contro gli hacker di Pwnium 3

Le competizioni di hacking Pwn2Own 2013 e Pwnium 3 potrebbero aver avuto luogo nello stesso locale la scorsa settimana, in particolare la conferenza di sicurezza CanSecWest a Vancouver, BC, ma le differenze nei risultati non avrebbero potuto essere più sorprendenti.

HP Security Research Blog Gli hacker sono stati i vincitori del concorso Pwn2Own di quest'anno.

Pwn2Own 2013, detenuto da Zero Day Initiative (ZDI) di HP, focalizzato sui browser e plug-in di quest'anno, ed è stata una scena di spargimento di sangue figurativo diffuso (vedi i risultati a destra) per il software in prova.

Nel concorrente Pwnium 3 di Google, d'altra parte, sono stati gli hacker a essere sconfitti, incapaci di crackare il sistema operativo Chrome OS basato su Linux di Google.

[Ulteriori letture: il tuo nuovo PC n eeds questi 15 programmi gratuiti eccellenti

$ 3.14159 milioni in premi

"La sicurezza è uno dei principi fondamentali di Chrome, ma nessun software è perfetto e i bug di sicurezza sfuggono anche ai migliori processi di sviluppo e revisione", ha scritto Chris Evans, un membro del team di sicurezza di Google Chrome, in un post sul blog che annunciava la competizione a fine gennaio. "Ecco perché abbiamo continuato a collaborare con la comunità di ricerca sulla sicurezza per aiutarci a trovare e correggere le vulnerabilità."

I partecipanti dovevano dimostrare un attacco su un modello base (WiFi) del Chromebook Samsung Serie 5 550, eseguendo il ultima versione stabile di Chrome OS.

Google ha offerto anche molte motivazioni: un totale di $ 3,14159 milioni - ispirato al numero "pi", ha detto Google - suddiviso in $ 110.000 per un compromesso tra browser o sistema e $ 150.000 per un compromesso

Nessuna iscrizione vincente

"Riteniamo che questi premi più ampi riflettano la sfida aggiuntiva implicata nell'affrontare le difese di sicurezza di Chrome OS, rispetto ai sistemi operativi tradizionali", ha spiegato Evans.

GoogleIl nuovo " il livello sandbox di seccomp-bpf in Chrome OS aggiunge ulteriore sicurezza (Clicca sull'immagine per ingrandirla.)

Fortunatamente per gli utenti di Chromebook, ma sfortunatamente per gli hacker in competizione nessuno è riuscito a raggiungere un compromesso completo.

"Non ricevere qualsiasi voce vincente, ma stiamo valutando alcuni lavori che possono essere considerati come exploit parziali, "leggi l'annuncio dei risultati giovedì scorso su Google +.

Il vantaggio Linux

Naturalmente, va notato che la scoperta di un Chrome sfruttare due giorni prima ha permesso a Google di applicare Chrome OS prima che Pwnium iniziasse, come sottolineato in un post sul blog la scorsa settimana dalla società di sicurezza Sophos.

Tuttavia, il fatto che nient'altro è stato scoperto è in gran parte una dimostrazione del fatto che Chrome OS è basato su Linux, che è ampiamente considerato molto più sicuro delle sue controparti proprietarie.

Questo è dovuto a numerose ragioni, tra cui il modo in cui vengono assegnate le autorizzazioni e la natura open source del software, ma Chrome OS aggiunge anche il vantaggio di seccomp- bpf, una funzionalità sandbox che è stata recentemente inclusa nel kernel di Linux.

Il risultato, in sostanza, è "un piccolo filtro nel kernel che rifiuterà rapidamente molte delle rocce lanciate da un utente malintenzionato", come l'ingegnere software di Google J Ulien Tinnes ha spiegato sul Chromium Blog lo scorso autunno.

Bottom line? Se la sicurezza è una priorità per te, allora Linux-in Chrome OS o una delle sue molte altre forme-è la strada da percorrere.