• Thứ Bảy, 05/02/2011 13:53 (GMT+7)

    Google cược 20.000 USD rằng Chrome không thể bị hack

    Bạch Đình Vinh
    Google sẽ trả 20.000 USD cho những nhà nghiên cứu đầu tiên khai thác thành công lỗ hổng trình duyệt Chrome tại cuộc thi hack máy tính Pwn2Own năm nay.

    Đây là giải thưởng lớn nhất từ trước đến nay cho cuộc thi Pwn2Own hàng năm. Pwn2Own năm nay là lần thứ 5 cuộc thi diễn ra tại hội nghị bảo mật CanSecWest (khai mạc vào ngày 9/3/2011 ở Vancouver, British Columbia, Canada).

    Tại cuộc thi Pwn2Own năm nay, các nhà nghiên cứu sẽ phải khai thác những máy tính đang chạy Windows 7 hoặc Mac OS X khi họ cố gắng “hạ gục” 4 trình duyệt: Internet Explorer (của Microsoft), Firefox (của Mozilla), Safari (của Apple) và Chrome (của Google).

    Các nhà nghiên cứu đầu tiên hack thành công IE, Firefox và Safari sẽ nhận được 15.000 USD (~300 triệu đồng) và chiếc máy tính đang chạy trình duyệt đó. Giải thưởng năm nay cao hơn năm ngoái 5.000 USD và cao gấp 3 ba lần so với giải thưởng năm 2009.

    Pwn2Own một lần nữa lại được sự tài trợ của TippingPoint - đội nghiên cứu bảo mật của HP. Ông Aaron Portnoy, người quản lý của TippingPoint cho biết, tổng số tiền giải thưởng năm nay là 125.000 USD (~2,5 tỷ đồng).

    Nét mới năm nay là sự tham gia của Google. Công ty này là nhà sản xuất trình duyệt đầu tiên góp tiền vào cơ cấu giải thưởng. Các quy tắc cho Chrome có hơi khác so với 3 trình duyệt kia vì nó là trình duyệt duy nhất sử dụng hệ thống bảo vệ, chống khai thác "sandbox". Sandbox phân lập các quy trình hệ thống, ngăn chặn hoặc ít nhất là cản trở phần mềm độc hại (malware) thoát ra từ ứng dụng - trong trường hợp này Chrome - để phá hoại trên máy tính.

    Để khai thác một chương trình được sandbox giống như Chrome, các nhà nghiên cứu phải khai thác 2 lỗ hổng: lỗ hổng đầu tiên để cho phép mã tấn công của họ thoát ra khỏi sandbox, và lỗ hổng thứ hai để khai thác lỗi Chrome.

    Để “ẵm” được 20.000 USD của Google trong ngày đầu tiên của Pwn2Own, nhà nghiên cứu phải tìm và khai thác 2 lỗ hổng trong mã của Google. Chỉ vào ngày thứ 2 và thứ 3 của cuộc thi, các nhà nghiên cứu mới có thể sử dụng một lỗi không phải của Chrome, giả dụ trong Windows, để thoát ra khỏi sandbox. Một cuộc tấn công thành công vào các ngày thứ 2 và thứ 3 sẽ vẫn mang lại cho nhà nghiên cứu 20.000 USD, nhưng chỉ có 10.000 USD là đến từ Google, TippingPoint sẽ chi 10.000 USD còn lại.

    Sự tham gia của Google vào cuộc thi Pwn2Own năm nay có thể là một dấu hiệu cho thấy, Google tự tin rằng Chrome không thể bị hack.

    Tại Pwn2Own vào tháng tới, TippingPoint cũng sẽ tổ chức cuộc thi hack di động mà sẽ cho phép các nhà nghiên cứu cố gắng khai thác những điện thoại thông minh (smartphone) đang chạy các hệ điều hành iOS (của Apple), Android (của Google), Windows Phone 7 (của Microsoft) và BlackBerry (của RIM). Các cuộc tấn công smartphone thành công sẽ được trao tặng 15.000 USD.

     

    Từ khóa: Chrome, Google
    Nguồn: Computerworld, 3/2/2011