Google се гордее с уеб браузър. Повече за етапа на проектиране разработчиците са приложили в Chrome уникална за времето си, схема за защита срещу външни атаки. По-долу ще говорим за това по-подробно, но за сега само си представете, че всеки раздел отворен браузър е изолиран от операционната система, както и съседните - да не им навреди, ако нещо се обърка. Самата идея беше предложена още преди, и това се нарича беше във въздуха, но това е първият Google да го приложат в браузър подходящ за "масово потребление." И не губи.

За трите години от съществуването на Chrome не е счупен, след като най-малко в най-опасния начин за обикновените потребители, когато зловреден код постъпва в компютъра просто чрез отваряне на уеб страница. И членовете на юридически състезания хакерски обикновено предпочитат да игнорират Google пусне браузър, без дори да се опитва да го справи. За съжаление, през миналата седмица, тази дългогодишна жилка на светлината е бил улучен-сам. Привлечени реномирани награди и възможност да се потвърди, че това е абсолютно непревземаема защита не съществува, участниците в международна конференция CanSecWest сигурността хакнат Chrome. Три пъти.

Една от основните атракции е конкурса хакери CanSecWest Pwn2Own (от жаргон PWN на английски - .. Hacking, собственик - да има, за да получите в имота). За да вземат участие в него всички желаещи, а целта може да са обичайните уеб браузъри - което е необходимо да се намери неизвестен уязвимостта и да може да се възползва от него, за да се възползват от контрола на компютъра. В преследване на готини награди и слава на счупване на труда като индивиди или цели екипи от експерти по сигурността.

Героят на деня, Сергей Глазунов (виж по-долу.) Познати разработчиците Chrome: тя активно им помага при намирането на грешки. Но в лицето му е известно, че някои от тях. Той казва Сергей избягва журналистите, не искат да бъдат признати на улицата. В тази снимка, направена, който знае къде и кой знае къде, вероятно, той (Снимка: AP)

Тази година правилата Pwn2Own правят отстъпки, за да се позволи на хакери да запазят рецепти тайна. Това принуждава Google да се оттегли от спонсорите и да организират своята конкуренция (Pwnium, пак там, в CanSecWest) с награден фонд от един милион долара. Въпреки това, всеки един от участниците, които показват чист хак Chrome (нещо, за това, което беше обсъдено по-горе: контрол прихващане компютър чрез уеб страница, а само с една атака на кода на самия браузър, а не на плъгините), се е смятало до 60 хиляди долара.

Но това беше достатъчно. В Chrome първи "счупи" нашия сънародник Сергей Глазунов (tyumenets, ТСУ студент в "Компютърна сигурност"). След това дойде един кутре Pie. И в същото време с тях в екип Pwn2Own Chrome счупи френската компания VUPEN.

И в трите случая, хакерство не е "блестящ поглед", които се появиха по време на мач. Французите, например, прекарано в търсене на уязвимости, колкото шест седмици. Но някак си се е случило. Доказано: Chrome, работещи под MS Windows 7 може да се раздели, като просто сваляне на заразен уеб страница. Ако произведения на състезателите в неподходящи ръце - и това може да се случи вирус епидемия с десетки милиони заразени компютри.

Това е време да се мисли за вътрешната структура на Chrome. там е термин, "пясък" в речника програмистите. Наречена е така, изолирано пространство в паметта на компютъра се използва, например, за отстраняване на грешки на нови програми. Код работи в тестова среда, откъснати от външния свят (друг софтуер, операционна система, повечето устройства). И ако с него се случи нещо, последствията ще бъдат ограничени до само най-пясъчника.

Сега си представете, че тази схема е изградена браузър. Всеки раздел се изпълнява независимо от съседните: тя не знае какво се случва, "съседите" (не, например, за да шпионира номера на кредитната карта от следващия раздел) и без значение какво ще се случи, не може да им влияе. Тя работи така Chrome. Google е първата за прилагане на тази схема в неговата цялост, и към днешна дата различните му варианти също се използват Internet Explorer, Firefox, Safari.

Microsoft също така се надява да "пясък". Въведена напреднали защитен режим Internet Explorer 10 - същество същите изолационни разделите един от друг и от операционната система.

Сега е лесно да се обясни какво прави победителите Pwnium и Pwn2Own. Те открили вратичка от пясъчника, никакъв начин изобщо да се получи около него. И ако Сергей Глазунов и кутре Pie резултатите им доставя на Google (а тя, от своя страна, веднага пусна нова версия на браузъра, където се коригират уязвимости), екипът VUPEN да публикува откритието му отказа.

Фактът, че уязвимостта VUPEN специализирана в продажбата на софтуер и консултантски услуги в съответните области. Нейни клиенти - частни фирми и държавни организации, които желаят да имат предимство пред други участници на пазара: да бъде най-добрата защита срещу новооткрити уязвимости и може би да ги използват за атака.

Високата цена на такава уязвимост, която се формира в резултат на търсенето на тях - не е нещо ново, но само по себе си констатация на факт не променя нищо. На второ място, на черния пазар ще съществува, докато софтуерните разработчици няма да номинира за откриване на опасни уязвимости адекватна пазарна цена. За нас, сега, работа VUPEN означава като бомбата Chrome, кога и кой ще се възползва от това не можем да знаем.

Накрая, си струва да припомним старата, полузабравен но истината (което всъщност е желание да се потвърди и мотивира тяхната работа френски език): абсолютна защита няма да се случи! Търсим достоен мотивация и умения, а след това можете да хакнете нищо.

Избор на елементи в отделен браузър обработва добър десет години се считаше почти панацея за всички болести. В действителност, тя получава само свърши работата браузъри приятни (ако един раздел виси, а останалите продължават да работят). Магия хапче от хакери е все още там.