Google Chrome sobrevive el primer día de Pwn2Own 2009

Ayer mencionábamos cómo todos los populares navegadores fueron cayendo, uno tras otro, antes las manos de habilidosos hackers en el concurso Pwn2Own 2009, organizado por CanSecWest.  Safari, Internet Explorer 8, y Firefox, fueron víctimas, momentos después de haberse iniciado el concurso. Todos, excepto uno: Google Chrome

Primero expliquemos un poco el concurso: Éste se divide en tres días, donde se imponen ciertas limitaciones a cómo pueden ser hackeadas las computadoras a través los navegadores.

  • El primer día, por ejemplo, sólo pueden realizarse ataques directos al navegador, sin recurrir a plugins (como Flash). Aquí se verifica la integridad del navegador en sí
  • Durante el día 2, se pueden utilizar exploits que hayan sido encontrados en plugins para el navegador como Flash, Java, .Net, Quicktime, para poder comprometer a la PC
  • Las reglas del día 3 son más laxas, y entran en juego aplicaciones populares como Adobe Reader. Ya no es tanto la seguridad del navegador en sí, sino de utilizar al navegador como puerta de acceso a través de otras aplicaciones.

Picture 15

Cómo sobrevivió Google Chrome?

Una de las características poco mencionadas de Chrome, es el modo “Sandbox” o Caja de Arena en el que corre dos procesos que siempre son los objetivos principales de los ataques: Rendering de HTML y ejecución de Javascript.

Según el Chromium Blog:

“En resumen, una caja de arena es un mecanismo de seguridad utilizado para correr una aplicación en un ambiente cerrado. Si un atacante logra entrar al navegador de tal manera que puede correr código arbitrario en la máquina, el sandbox ayuda a prevenir que este código cause daño al sistema. Este sandbox también ayuda a prevenir que se modifique o incluso se vean los archivos o algún tipo de información del sistema

O, en pocas palabras, es como aislar estas dos acciones, y prevenir que cualquier código malicioso que se ejecute dentro de éste, tenga algún efecto en el sistema.

El Chromium Blog tiene un extenso artículo al respecto, que vale la pena leer.  Interesante la victoria de este navegador en la prueba, pues parece que la movida de Google para utilizar este método ha dado sus frutos.

Link

 

Caerá Chrome en los siguientes días? Por supuesto, esa es la idea del concurso; una vez que se les de mayores libertades a los asistentes para utilizar los plugins, o aplicaciones externas, es casi seguro que Chrome caerá como el resto. Sin embargo, haber sobrevivido el primer día, es todo un logro. Logro que dudo que se repita el próximo año.

No more articles