Google Chrome Hackerlara Hacklendi
Siber korsanlar, bugüne kadargüvenlik duvarı aşılamamış olan tek
Google’ın bu yıl altıncısı düzenlenen Pwn2own siber korsanlık yarışmasında, Windows 7 işletim sistemi kullanacak hackerlara, toplamda 1 milyon dolar ödül vaat edilmişti.
Kanada’da düzenlenen yarışmaya katılan Fransız Vupen grubu, Google Chrome'un bugüne dek aşılamayan güvenlik sistemini beşdakikadan kısa bir sürede yıkmayı başardı.
Siber korsanlar, geçtiğimiz yıl düzenlenen Pwn2own yarışmasında Safari ve Internet Explorer’ın güvenlik duvarını
aşmayı başarmış, Chrome’a düzenlenen tüm saldırılar ise geri tepmişti.
Vupen, Google’ın yarışmada en başarılı olacak gruplara vereceği para ödülü olan 60 bin doları da kazanmış oldu.
Bazı analistler ise Fransız grubun hükümetlere casusluk yazılımı satan bir şirket olduğunu ve güvenlik çevreleri tarafından şüpheyle karşılandığına dikkat çekti.
Vupen araştırma ekibinin başında yer alan Chaouki Bekrar, ZDNet’e
yaptığı açıklamada, “Chrome’un alt edilemeyecek bir yazılım olmadığını
göstermek istedik... Geçtiğimiz yıl, Chrome’un güvenliğinin
aşılamaladığına dair sayısız haber gördük. Bu başarıya bu yıl ulaşmak
istiyorduk” dedi.
Vupen, Pwn2own yarışmasının organizatörü ve sponsoru HP’nin Zero Day
Initiative (ZDI) programı tarafından 32 puanla ödüllendirildi ve
birinciliğini de neredeyse garantiledi. Yarışma, Google’ın vaat ettiği
toplam bir milyon dolar ödüle ulaşılıncaya kadar devam edecek.
NASIL BAŞARDILAR? Vupen,
Chrome’un güvenlik duvarını yıkmak için, tarayıcının bugüne dek fark
edilmemiş iki zayıf noktasından yararlandı. Chrome, sahip olduğu
“sandbox” güvenlik sistemi sayesinde, bulunduğu bilgisayardaki işletim
sisteminden kendini izole ederek çalışabiliyor. Böylece, siber korsanlar
bilgisayarın kontrolünü ele geçirse de Chrome’a sızamıyorlar.
Vupen, iki “böcek” kullanarak, Chrome’u hem kod uygulamasıyla hem de
sandbox sistemini deşifre ederek alt etti. Böceklerden biri, Chrome’un
kötü yazılımlara karşı koruyucu izolasyon sisteminden (sandbox) çıkış
noktası bularak, tıpkı işletim sistemini ele geçirdiği gibi tarayıcı da
ele geçirmeyi başardı.
ALTI HAFTA ÇALIŞTILARBekrar,
ekibinin Pwn2own öncesinde Chrome’un hassas noktalarını bulmak için
altı hafta çalıştığını söyledi. Vupen, bu süre boyunca Mozilla Firefox
ve Internet Explorer’a saldırmak için de yeni yöntemler bulduklarını
belirtti.
Fransız hacker, “Sandbox
sistemini aşarak tüm güvenlik duvarlarını yıkmak çok kolay bir iş
değil... Şunu söyleyebilirim ki Chrome karşımıza bugüne dek çıkan en
güçlü tarayıcı” dedi.
Vupen, Chrome sandbox hakkında elde ettikleri bilgilerin saklı tutulacağını ve sadece müşterilerine sunulacağını ifade etti.
BEYAZ HACKERLARA DAVETGoogle
Chrome güvenlik ekibinden Chris Evans ve Justin Schuh, Pwn2own
yarışması öncesinde, “Chrome güvenlik duvarının aşılmasının, daha iyi
sistemler geliştirilmesi için gerekli olduğunu ve beyaz korsanların
kendilerini geliştirebilmeleri adına ödül miktarını artırdıklarını”
belirtmişti.
Google, Microsoft ve Facebook gibi şirketlerin, hackerlarla çalışarak
güvenlik sistemlerinin seviyelerini yükseltmeye çalıştıkları biliniyor.
Goole, Pwn2own yarışmasının bu amacı taşıdığını önceden belirtmişti.
Google, Vupen’ın başarısından etkilendiklerini belirtti. Justin Schuh, “Etkileyici
bir saldırıydı... Chrome’un nasıl çalıştığına dair derin bilgileri
ortaya koydu. Çok zor bir iş başardılar ve bu yüzden onlara 60 bin dolar
vereceğiz”dediler.
Google Güvenlik Ekibi, Chrome’un açıklarına yama yapmak için çalışmalara başladıklarını belirtti.
Hiç yorum yok:
Yorum Gönder