Ayer mencionábamos cómo todos los populares navegadores fueron cayendo, uno tras otro, antes las manos de habilidosos hackers en el concurso Pwn2Own 2009, organizado por CanSecWest.  Safari, Internet Explorer 8, y Firefox, fueron víctimas, momentos después de haberse iniciado el concurso. Todos, excepto uno: Google Chrome

Primero expliquemos un poco el concurso: Éste se divide en tres días, donde se imponen ciertas limitaciones a cómo pueden ser hackeadas las computadoras a través los navegadores.

  • El primer día, por ejemplo, sólo pueden realizarse ataques directos al navegador, sin recurrir a plugins (como Flash). Aquí se verifica la integridad del navegador en sí
  • Durante el día 2, se pueden utilizar exploits que hayan sido encontrados en plugins para el navegador como Flash, Java, .Net, Quicktime, para poder comprometer a la PC
  • Las reglas del día 3 son más laxas, y entran en juego aplicaciones populares como Adobe Reader. Ya no es tanto la seguridad del navegador en sí, sino de utilizar al navegador como puerta de acceso a través de otras aplicaciones.

Picture 15

Cómo sobrevivió Google Chrome?

Una de las características poco mencionadas de Chrome, es el modo “Sandbox” o Caja de Arena en el que corre dos procesos que siempre son los objetivos principales de los ataques: Rendering de HTML y ejecución de Javascript.

Según el Chromium Blog:

“En resumen, una caja de arena es un mecanismo de seguridad utilizado para correr una aplicación en un ambiente cerrado. Si un atacante logra entrar al navegador de tal manera que puede correr código arbitrario en la máquina, el sandbox ayuda a prevenir que este código cause daño al sistema. Este sandbox también ayuda a prevenir que se modifique o incluso se vean los archivos o algún tipo de información del sistema

O, en pocas palabras, es como aislar estas dos acciones, y prevenir que cualquier código malicioso que se ejecute dentro de éste, tenga algún efecto en el sistema.

El Chromium Blog tiene un extenso artículo al respecto, que vale la pena leer.  Interesante la victoria de este navegador en la prueba, pues parece que la movida de Google para utilizar este método ha dado sus frutos.

Link

 

Caerá Chrome en los siguientes días? Por supuesto, esa es la idea del concurso; una vez que se les de mayores libertades a los asistentes para utilizar los plugins, o aplicaciones externas, es casi seguro que Chrome caerá como el resto. Sin embargo, haber sobrevivido el primer día, es todo un logro. Logro que dudo que se repita el próximo año.

  • Juanca

    ¿Sera porque esta patrocinado por google? (lo digo desde el desconocimiento). Y Opera, ni siquiera es tenido en cuenta?

  • Mmm curiosa la respuesta de Juanca xD

    hey Goga que necesita estudiar claro aparte de programador para ser uno de esos hacker del concurso xD

    Aparte de chuponear que mas hace falta ? xD

  • HaLaN

    si…me gustaria ver o saber ke tan rapido o facil hackean Opera…si bien no tiene cubierto un gran porcentaje del mercado, es un muy buen navegador…
    me noto muy hincha??? creo ke no… 😀

    y creo ke para “ser hacker” hay ke “estudiar” sobre seguridad, protocolos, de hecho tienes ke aprender o saber programar.
    un paso importante creo ke es conseguir uno de los Unices libres; aprender a usarlo y a ponerlo en funcionamiento.

    ya estoy escribiendo mucho…

    saludos

    😀

  • Arturo, creo que olvidaste mencionar que el primer navegador en caer, y a los pocos segundos de iniciado el concurso, fue tu navegador favorito SAFARI. Los demás navegadores vivieron algo más.

  • @Juanca
    No creo, no he visto ningún auspicio de Google por ningún lado 😛

    @HaLan
    Si, también me hubiera gustado ver los resultados de Opera… Yo también era un enorme fan de este navegador desde sus inicios, pero la falta de evolución del mismo luego de la versión 8, hizo que terminara buscando otros…

    @Marco
    No, de hecho, le dediqué un post completo al tema, linkeado al inicio

  • Dark-Vice

    jejeje xD
    lee @Marco el @arturogoga te acabo pero chingon ehh creo q con esa respuesta no vuelves a comentar durante un buen tiempo…bien arturogoga tu si sabes hermano…