- Google Chrome knekkes i mars

Årets hackerutfordring under sikkerhetskonferansen Pwn2Own i mars er å knekke sikkerheten i nettlesere. Arrangørene regner med at både Apple Safari, Microsoft Internet Explorer, Mozilla Firefox og Google Chrome vil få sikkerheten knekt i tur og orden.

- Vi regner med at de fleste vil bukke under for angrepene allerede første dag. Chrome vil antagelig holde ut lengst, sier Aaron Portnoy, sjef for forskingsgruppa i HP Tippingpoint, som er samarbeidspartner for sikkerhetskonferansen.

Alle gode ting er ikke tre

Arrangørene regner det som sannsynlig at Chrome ikke vil overleve årets angrep, selv om de har klart seg to år på rad før. Grunnen er at Chrome er designet slik at vanlige hackermetoder ikke virker.

Googles sandkasse-design skal kjøre så isolert fra resten av verts-pc-en at det ikke skal være mulig å angripe verten gjennom nettleseren.

Slike systemer kan brytes inn i om man kan bryte ut av sikkerhetssandkassa, og deretter klarer bryte seg inn i vertssystemet. Reglene under konferansen endres etter første dag hvor bare svakheter i selve Chrome-koden kan brukes. De to neste dagene kan også sårbarheter i andre applikasjoner brukes som et ”brekkjern” for å bryte seg inn gjennom Chrome.

Angriper trolig Webkit

Google betaler 20.000 dollar, rundt 120.000 kroner, i premie til den som knekker nettleseren første dag. Om det først lykkes andre eller tredje dag, er vinnerpremien fortsatt 120.000 kroner. Men da plukker HP opp halve regningen.

- Google vil ikke betale fullt ut for svakheter i andre produsenters kode, forklarer Portnoy.

Portnoy understreker at også Chrome kan hackes, og at den trolige angrepsflaten mot nettleseren er utviklerbasen WebKit. Også Apple Safari har samme miljø i bunn, men bruker ikke samme sandkasse-isolering som Chrome.

Grunnen til at det betales gode penger for innbrudd, er at produsentene av programvare og sikkerhetsutstyr får tilgang til unik kunnskap om hvordan angrep bygges opp. Slik kan forsvaret mot dem bli bedre.