:: eliax.com - Hackers no pudieron contra Google Chrome en Pwn2Own

texto: A- A+

martes, marzo 24, 2009

Hackers no pudieron contra Google Chrome en Pwn2Own
eliax id: 6356 josé elías en mar 24, 2009 a las 04:27 PM ( 16:27 horas)

¿Se acuerdan la semana pasada cuando les hablé de la conferencia de hackers en donde tenían un concurso para ver quien hackeaba la seguridad de los principales navegadores del mercado, y Safari 4, Internet Explorer 8 y Firefox 3 todos calleron, y hasta entonces no podían con Google Chrome?

Pues la competencia llegó por fin a su final y nadie pudo tocar a Chrome.

Según uno de los hackers entrevistados, el problema es que el modelo de seguridad de Chrome es demasiado fuerte y restringido contra hackers en el sentido de que posee el famoso sandbox ("caja de arena"), en donde todo el código que se ejecuta en Chrome está aislado del resto del sistema, en particular del sistema operativo nativo.

Es decir, en un navegador tradicional, es solo cuestión de encontrar una vulnerabilidad para después buscar la manera de inyectar código malicioso por ese "agujero". El problema [para los hackers] con Chrome es que después que abres el agujero lo que haces es terminar dentro del sandbox, no dentro del espacio de memoria del sistema operativo, lo que significa (como aclara el hacker en el artículo) que se necesitaría ahora encontrar un agujero dentro del sandbox mismo, así como averiguar la forma de inyectar código a través de este. Es decir, es una doble barrera que requiere de un esfuerzo exponencial versus otros navegadores.

Así que al menos por ahora (pues como sabemos, todo es cuestión de tiempo), podemos decir que al menos en este round el Google Chrome es el navegador de Internet mas seguro del momento...

¡Gracias al lector Miguel Fabian por el enlace a la actualización de esta noticia!

Fuente de la noticia

Página oficial de Google Chrome

autor: josé elías

18 comentarios

Tecno-Seguridad

Previamente en eliax:
Análisis eliax: Primer análisis detallado de Google Chrome ( sept 2, 2008)
Google Chrome 2.0 beta disponible para Windows y Linux ( mar 18, 2009)
IE 8, Safari 4 y Firefox 3 hackeados en primer día de Pwn2Own ( mar 19, 2009)

Posteriormente en eliax:
Google anuncia su Sistema Operativo Chrome OS. Detalles y Análisis ( jul 8, 2009)
Por primera vez, navegador Internet Explorer baja a menos de 50% mundialmente ( oct 5, 2010)
Google mejora Android para ambientes corporativos seguros. Opinión ( abr 21, 2011)
Google Chrome se convierte en el navegador web más utilizado del mundo. Opinión ( may 21, 2012)

Comentarios

Me da gusto que al menos un navegador muestre un desafio extra para estos expertos, lo cual nos da un poco mas de seguridad. Mi pregunta es si realmente todas las paginas que tu visitas utilizando este navegador van y paran a google. Seria como tener un espia, guardando distancias obvias. El caso es que al menos de manera personal si me molestaria que todo lo que hago pare a las manos de google, no por lo que hago en si, sino por el hecho de hacer algo a oscuras y donde no das tu consentimiento.

Seria cuestion de reconsiderar el navegador, ya que solo lo use unas pocas semanas y lo note inestable en aquel momento.
Saludos

#1 Marcos - marzo 24, 2009 - 07:44 PM (19:44 horas) (responder)

Hola Marcos,

El código de Chrome está abierto a la inspección, y además Google ha sido claro en que Chrome no envía datos a Google.

En cuando a la inestabilidad, es un navegador nuevo, y la última versión 2.0 está aun en modo beta (de pruebas).

#1.1 José Elías - febrero 28, 2010 - 07:15 AM (07:15 horas) (responder)

Ok, gracias por el dato Elias, seguro le dare un vistazo nuevamente. :)
Saludos

#1.1.1 Marcos - marzo 24, 2009 - 09:32 PM (21:32 horas) (responder)

RAPIDAMENTE YA LO TENGO COMO MI DEFAULT

utilizaba un software llamado sanboxie, que lo que ace es precisamente eso, te aisla los browser, aplicaciones y lo que desees correr en tu maquina completamente "isolate" pero al chrome tener esto, me parece fantastico, y sera mi navegador por defecto now on.

check it

#2 Garsoul - marzo 24, 2009 - 08:39 PM (20:39 horas) (responder)
que bueno que sea un navegador seguro chrome,entonces seguire usandolo como mi navegador favorito

#3 JUAN,MIAMI (enlace) - marzo 24, 2009 - 10:07 PM (22:07 horas) (responder)
Aun esperando una version de Chrome para Mac OS X... Mientras tanto en Windows, sigue siendo mi navegador por defecto :).

#4 LS Canaán - marzo 24, 2009 - 10:23 PM (22:23 horas) (responder)
y cual es la posibilidad de esto hackers no sean pagados por google (recuerden en el mundo de los sistemas nada es imposible) y esto no sea simple promoción. solo preguntaba piensen un poco a ver y me dicen !!!!!!!

#5 rca - marzo 24, 2009 - 11:38 PM (23:38 horas) (responder)
Hmm..será posible que la mano de Google haya desembolsando par de billetes a esos hackers para lograr tal impacto sobre la seguridad de su browser? (me gustan las conspiraciones, lol!)

#6 J - marzo 25, 2009 - 06:58 AM (06:58 horas) (responder)
@J y @rca la misma posibilidad de que google le pago a ustedes para infundir "rumores" son la misma posibilidad que google le pagara a los hackers.

pero algo si se debe tener claro... esto no significa que chrome sea impenetrable......

Por el momento es un 99.9% seguro..hasta que se demuestre lo contrario... :-P

veremos a ver que tiempo dura para que alquien le encuentre una unnerabilidad..

#7 - marzo 25, 2009 - 08:06 AM (08:06 horas) (responder)
es un buen navegador y es de las manos de quienes quieren conquistar el internet "google" pero creo que solo es cuestion de time para que eso suceda.

#8 www.geekrd.tk (enlace) - marzo 25, 2009 - 10:31 AM (10:31 horas) (responder)
Al que hackeo el safri le dieron una mac no? Google no daria androids y una lanita para que no lo hackearan? ja ja ja ja

#9 Xyphermx - marzo 25, 2009 - 12:08 PM (12:08 horas) (responder)
Sin afán de parecer talibán, creo que la forma correcta es "cayeron" haciendo referencia al verbo caer y no "calleron".

#10 Carlos - marzo 25, 2009 - 12:57 PM (12:57 horas) (responder)
Como mencionaste (Jose Carlos) el otro día no estamos 100% seguros, siempre hay que "mosca" !!!, esa brecha que tiene Chrome todavía no tiene utilidad, pero de seguro es cuestión de tiempo. Ojala y que se quede en el sandbox!!

#11 . - marzo 25, 2009 - 01:04 PM (13:04 horas) (responder)
es mas seguro para google, no asi para los usuarios, ya que google por medio del mismo puede rastrear y llevar en detalle lo que haces en el navegador

#12 descargar programas (enlace) - marzo 25, 2009 - 04:14 PM (16:14 horas) (responder)
#1. Nadie pudo hackear Chrome porque nadie quiso hacerlo. Porque nadie quiso hacerlo? porque no tiene Market Share. Mas informacion en: http://arstechnica.com/security/news/2009/03/chrome-is-the-only-browser-left-standing-in-pwn2own-contest.ars

#2. Un verdadero reporte con respecto a todo esto y a porque Internet Explorer 8 es mas seguro: http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9130342&intsrc=news_ts_head

#13 Christopher Quesada - marzo 25, 2009 - 07:56 PM (19:56 horas) (responder)
Desde que google chrome estubo disponible para la descarga lo tengo como mi explorador de internet por defecto.

Es otro nivel... Super comodo, SEGURO, y va mejorando muy rapido todos sus defectos de compatibilidad y demas.

#14 JeCs - marzo 26, 2009 - 07:47 AM (07:47 horas) (responder)
La manera de hacerlo es consumiendo recursos de chrome , en un bucle infinito de alertas en javascript , fácil

#15 LacraX (enlace) - marzo 26, 2009 - 08:49 PM (20:49 horas) (responder)

Chrome viene de fábrica con un gestor de procesos, y no solo puede limitar la cantidad de CPU que utilizan esos procesos, sino que el usuario final los puede eliminar manualmente si lo desea.

#15.1 José Elías - febrero 28, 2010 - 07:15 AM (07:15 horas) (responder)

Añadir Comentario

tu nombre
tu email (opcional)
web personal (opcional)
en respuesta a...
comentario de caracteres máximo
9 + 2 =	requerido (control anti-SPAM)
¿De qué color es el cielo?:	requerido (control anti-SPAM)

"Mi mente va a estallar, esto es EXTRAORDINARIO!!!!!!!!!!"

por "Patricio" en jul 23, 2010