Подросток заработал $60.000 на тестировании Google Chrome

Всего за несколько часов до окончания конкурса по проверке уязвимости популярного интернет-браузера Google Chrome с общим призовым фондом в один миллион долларов, объявленного его разработчиком - компанией Google, один подросток смог взломать браузер Chrome с помощью трех уязвимостей нулевого дня (известных как Zero-Day или 0-day). Против таких уязвимостей бессильны существующие защитные механизмы программного обеспечения и классические антивирусные технологии. Одна из обнаруженных брешей позволила ему взломать изолированную программную среду системы безопасности браузера.

Подросток показался на публике, но не открыл своего настоящего имени и попросил, чтобы его называли привычной кличкой Pinkie Pie (Розовый пирог), потому что его теперешний работодатель не в курсе подобной хакерской деятельности своего сотрудника. Он потратил всего полторы недели, чтобы найти уязвимости и разработать алгоритм взлома, но смог достичь конкретного результата только в последние часы конкурса.

При публичной демонстрации взлома Pinkie Pie сделал небольшое отклонение от алгоритма своей атаки. Вместо того чтобы открыть приложение калькулятора на целевом компьютере (как показатель успешного взлома), его атака закончилась выводом на экран изображения вооруженного топором розового пони, персонажа популярного анимационного сериала My Little Pony. Этот взлом не только обеспечил юному хакеру получение одного из призов в $60.000, которые являются частью конкурса Pwnium, проводимого Google, но и может стать началом его новой карьеры в области компьютерной безопасности. Подросток сказал, что обойти систему безопасности Chrome оказалось удивительно легко. "Мне повезло, потому что я нашел способ сделать это сравнительно быстро", - сказал он.

Функция безопасности в Chrome и других браузерах должна удержать под контролем вредоносные и потенциально вредоносные программы, загружаемые из Сети и работающие в окне браузера, воспрепятствовать их влиянию на операционную систему компьютера и другие приложения. Подобные уязвимости ценятся очень высоко, потому что они встречаются крайне редко, их трудно найти, они позволяют злоумышленнику получить полный контроль над системой. Google отказался обсуждать детали трех обнаруженных уязвимостей, которые подросток использовал в своей атаке, до тех пор, пока компания не создаст и не распространит необходимый комплект обновлений.

Другим участником состязания молодых хакеров был русский студент Сергей Глазунов, атака которого, также с использованием парочки уязвимостей нулевого дня, обеспечила ему успех на старте конкурса, а также приз в $60.000. Но эти бреши были быстро исправлены в течение одного дня. У Глазунова есть определенное преимущество над Pinkie Pie и большой опыт взлома браузера Chrome. Он один из самых плодовитых тестировщиков и искателей ошибок Google, и уже успел заработать около $70.000 за свои предыдущие находки. Сергей хорошо знаком с базовым исходным кодом Chrome.

На конференции по компьютерной безопасности CanSecWest, которая недавно прошла в Канаде, Pinkie Pie вышел на сцену в шортах, футболке и очках, и сказал, что он никогда раньше не занимался поиском уязвимостей Google, но отправлял свое резюме в компанию в прошлом году, когда искал работу. Он написал в сопроводительном письме, что смог бы взломать Chrome, но не получил ответа. Теперь этот подросток, скорее всего, сможет въехать на своем розовом пони в команду Googleplex. Члены команды безопасности Google на сайте конференции заявили, что обязательно постараются найти его резюме.

Игорь Грень


Компьютерная газета. Статья была опубликована в номере 12 за 2012 год в рубрике интернет

©1997-2024 Компьютерная газета