Chrome OS håller fast mot hackare på Pwnium 3

Pwn2Own 2013 och Pwnium 3 hacking tävlingar kan ha varit båda på samma plats förra veckan, särskilt CanSecWest-säkerhetskonferensen i Vancouver, BC-men skillnaderna i deras resultat kunde inte ha varit mer slående.

HP Säkerhetsforskning BlogHackers var vinnarna i årets Pwn2Own-tävling.

Pwn2Own 2013, som hölls av HPs Zero Day Initiative (ZDI), fokuserade på webbläsare och pluginprogram för webbläsare i år och det var en scen av utbredd figurativ blodsutgjutning (se resultat till höger) för den programvara som testas.

I Googles samtidiga Pwnium 3 å andra sidan var det de hackare som besegrades, otillräckliga eftersom de skulle krossa Googles Linux-baserade operativsystem för Chrome OS.

[Ytterligare läsning: Din nya dator n eeds dessa 15 gratis, utmärkta program]

$ 3.14159 miljoner i priserna

"Säkerhet är en av de viktigaste principerna i Chrome, men ingen programvara är perfekt och säkerhetsbullar släpper igenom även de bästa utvecklings- och granskningsprocesserna" skrev Chris Evans, medlem av Google Chrome Security Team, i ett blogginlägg som meddelade tävlingen i slutet av januari. "Därför har vi fortsatt att engagera oss med säkerhetsforskningsgruppen för att hjälpa oss att hitta och åtgärda sårbarheter."

Deltagarna var skyldiga att demonstrera en attack på en basmodell (WiFi) av Samsung Series 5 550 Chromebook, som körde den senaste stabila versionen av Chrome OS.

Google erbjöd också mycket motivation: totalt $ 3.14159 miljoner inspirerat av numret "pi", säger Google, uppdelat i $ 110,000 för en webbläsare eller systemkompromiss och 150.000 dollar för en kompromiss som fortsätter efter omstart.

Inga vinnande poster

"Vi tror att dessa större belöningar speglar den extra utmaningen som är inblandad i att ta itu med säkerhetsförsvaret för Chrome OS jämfört med traditionella operativsystem", förklaras Evans.

GoogleThe new " seccomp-bpf-sandlåskiktet i Chrome OS lägger till extra säkerhet (Klicka på bilden för att förstora.)

Lyckligtvis för Chromebook-användare - men tyvärr för de konkurrerande hackarna - lyckades ingen få en kompromiss.

"Vi gjorde inte motta några vinnande poster men vi utvärderar ett visst arbete som kan kvalificeras som partiella exploater ", läs meddelandet om resultaten i torsdags på Google +.

Linux-fördelen

Det bör givetvis noteras att upptäckten av en Chrome utnyttjade två dagar i förväg tillåter Google att lappa Chrome OS innan Pwnium började, vilket påpekades i ett blogginlägg i förra veckan från säkerhetsfirman Sophos.

Det faktum att inget annat upptäcktes är i stort sett ett bevis på att Chrome OS baseras på Linux, vilket allmänt anses vara mycket säkrare än sina egna motparter. Det är av flera anledningar, inklusive hur tillstånden är tilldelade och programvarans öppna källans natur, men Chrome OS lägger också till fördelen av seccomp- bpf, en sandboxningsfunktion som nyligen ingick i Linux-kärnan.

Resultatet är i huvudsak "ett litet filter i kärnan som snabbt kommer att avvisa många av de stenar som kastas av en angripare", som Google-programingenjör J ulien Tinnes förklarade i Chromium bloggen förra hösten.

Bottom line? Om säkerhet är en prioritet för dig, då Linux-in Chrome OS eller en av dess många andra former - är vägen att gå.