În cadrul conferinței anuale CanSecWest, se desfășoară un concurs pentru a sparge diverse medii software. În prima zi, participantul rus Serghei Glazunov a demonstrat un atac de succes asupra versiunii curente a Google Chrome folosind două vulnerabilități necunoscute anterior. Corporația a actualizat imediat browserul, dar nu a ajutat - cineva sub pseudonimul PinkiePie a arătat un alt exploatare de lucru. Rezultatul este natural și confirmă doar ideea că nu există programe absolut fiabile.
Browser-ul Google este pe bună dreptate considerat unul dintre cele mai sigure - hackerii rareori demonstrează modalități de a ocoli toate nivelurile de protecție. Recent, Google a decis să mărească valoarea compensației pentru succesul hacking-ului, iar eficiența acestor stimulente materiale sa simțit imediat. Serghei Glazunov a reușit să profite de vulnerabilitățile din subsistemul de lucru cu adăugiri. Exploatarea sa a fost afișată pe o mașină cu Windows 7 și browserul Chrome, cu toate actualizările disponibile la momentul respectiv. Când introduceți o pagină generată special, dezvoltatorul a reușit să organizeze executarea unui cod arbitrar pe sistemul țintă, cu drepturile utilizatorului care a lansat browserul. Google a remarcat calitatea înaltă a activității lui Serghei și a fost de acord să-i plătească suma de 60.000 de dolari pentru un atac de succes.
Vestea succes break-in-uri browsere astfel de concursuri sunt distractive, dar care demonstrează că au o problemă serioasă: utilizatorii sunt acum mai activ lucra cu aplicații Web și o varietate de servicii online sofisticate, decât în urmă cu câțiva ani, iar browserele sunt principalele canale de livrare de cod rău intenționat pe sistemul țintă. Încercările de a face aceste programe fiabile sunt sortite eșecului: găurile în ele vor fi întotdeauna găsite. Și nu numai la concursuri. Singura cale de ieșire este de a aborda problemele de securitate într-un mod cuprinzător. În primul rând, că ar trebui să aibă dezvoltatorii de îngrijire OS - program de potențial vulnerabile pentru a fi rulat într-un mediu izolat, precum și accesul la resursele de sistem ar trebui să fie limitat. Este, de asemenea, util să se introducă sisteme de control al accesului obligatorii peste tot. Apoi, și software-ul anti-virus nu este necesar, mai ales că nu asigură nivelul adecvat de protecție. Multe mașini cu antivirusuri licențiate efectiv și familii distractive de troieni mi-au trecut prin mâini.
Articole similare
Trimiteți-le prietenilor: