hekerlar, bugune kadar guvenlik duvarı aşılamamış olan tek internet tarayıcısı Chrome’un, bu unvanını elinden aldı…
Google’ın bu yıl altıncısı duzenlenen Pwn2own siber korsanlık yarışmasında, Windows 7 işletim sistemi kullanacak hekerlara, toplamda 1 milyon dolar odul vaat edilmişti.
Kanada’da duzenlenen yarışmaya katılan Fransız Vupen grubu, Google’ın bugune dek aşılamayan guvenlik sistemini beş dakikadan daha kısa surede yıkmayı başardı.
Siber korsanlar, gectiğimiz yıl duzenlenen Pwn2own yarışmasında Safari ve Internet Explorer’ın guvenlik duvarını aşmayı başarmış, chrome’a duzenlenen tum saldırılar ise geri tepmişti. Vupen, Google’ın yarışmada en başarılı olacak gruplara dağıtılacak para odulu olan 60 bin doları da kazanmış oldu.
Bazı analistler ise Fransız grubun hukumetlere casusluk yazılımı satan bir şirket olduğunu ve guvenlik cevreleri tarafından şupheyle karşılandığına dikkat cekti.
Vupen araştırma ekibinin başında yer alan Chaouki Bekrar, ZDNet’e yaptığı acıklamada, “Chrome’un alt edilemeyecek bir yazılım olmadığını gostermek istedik… Gectiğimiz yıl, Chrome’un guvenliğinin aşılamaladığına yonelik sayısız haber gorduk. Bu başarıya bu yıl ulaşmak istiyorduk” dedi.
Vupen, Pwn2own yarışmasının organizatoru ve sponsoru HP’nin Zero Day Initiative (ZDI) programı tarafından 32 puanla odullendirildi ve birinciliğini de neredeyse garantiledi. Yarışma, Google’ın vaat ettiği toplam bir milyon dolar odule ulaşılıncaya kadar devam edecek.
NASIL BAŞARDILAR?
Vupen, Chrome’un guvenlik duvarını yıkmak icin, tarayıcının bugune dek fark edilmemiş iki zayıf noktasından yararlandı. Chrome, sahip olduğu “sandbox” guvenlik sistemi sayesinde, calıştığı bilgisayardaki işletim sisteminden kendini izole ederek calışabiliyor. Boylece, siber korsanlar bilgisayarın kontrolunu ele gecirse de Chrome’a sızamıyorlar.
Vupen, iki “bocek” kullanarak, Chrome’u hem kod uygulamasıyla hem de sandbox sistemini deşifre ederek alt etti. Boceklerden biri, Chrome’un kotu yazılımlara karşı koruyucu izolasyon sisteminden (sandbox) cıkış noktası bularak, tıpkı işletim sistemini ele gecirdiği gibi tarayıcı da ele gecirmeyi başardı.
CHROME EN GUCLU TARAYICI
Bekrar, ekibinin Pwn2own oncesinde Chrome’un hassas noktalarını bulmak icin altı hafta calıştığını soyledi. Vupen, bu sure boyunca Mozilla Firefox ve Internet Explorer’a saldırmak icin de yeni yontemler bulduğunu belirtti.
Fransız heker, “Sandbox sistemini aşarak tum guvenlik duvarlarını yıkmak cok kolay bir iş değil… Şunu soyleyebilirm ki Chrome karşımıza bugune dek cıkan en guclu tarayıcı” dedi.
Vupen, Chrome sandbox hakkında elde ettikleri bilgilerin saklı tutulacağını ve sadece muşterilerine sunulacağını ifade etti.
DAHA İYİ SİSTEMLER GELİŞTİREBİLMEK İCİN…
Google Chrome guvenlik ekibinden Chris Evans ve Justin Schuh, Pwn2own yarışması oncesinde, “Chrome guvenlik duvarının aşılmasının, daha iyi sistemler geliştirilmesi icin gerekli olduğunu ve beyaz korsanların kendilerini geliştirebilmeleri adına odul miktarını artırdıklarını” belirtmişti.
Google, Microsoft ve Facebook gibi şirketlerin, artık hekerlarla calışarak guvenlik sistemlerinin seviyelerini yukseltmeye calıştıkları biliniyor. Goole, Pwn2own yarışmasının bu amacı taşıdığını onceden belirtmişti.
Google, Vupen’ın başarısından etkilendiklerini belirtti. Justin Schuh, “Etkileyici bir saldırıydı… Chrome’un nasıl calıştığına dair derin bilgileri ortaya koydu. Cok zor bir iş başardılar ve bu yuzden onlara 60 bin dolar vereceğiz” dediler.
Google Guvenlik Ekibi, Chrome’un acıklarına yama yapmak icin calışmalara başladığını belirtti.
KAYNAK : http://www.webozgun.com/chrome-da-sonunda-yikildi/