דפדפן כרום, מסתבר, לא חזק כמו כרום

על אף שבתחרות שהתקיימה בשנה שעברה היה כרום הדפדפן היחידי שלא נפרץ, השנה הוא היה הראשון שנכשל במשימה.

ערוץ 7 , ט"ז באדר תשע"ב

דפדפן כרום, מסתבר, לא חזק כמו כרום-ערוץ 7
לא חזק כמו כרום
רויטרס

דפדפן כרום הוא דפדפן האינטרנט המוכר מבית גוגל. הדפדפן אשר מבוסס על פרוייקט הקוד הפתוח כרומיום, משווק לרוב כאלטרנטיבה יותר טובה לדפדפן ברירת המחדל של מערכת ההפעלה ווינדוז, האינטרנט אקספלורר, בין אם בזכות מהירותו, השימוש החסכוני שלו במשאבי המחשב, או בשל בטיחותו הגבוהה, בשל זה שהדפדפן מופעל כ"Sand Box".

אותו "Sand Box" הוא "ארגז חול", מדובר בתוכנה אשר פועלת על גבי מחשב ולא מסוגלת לבצע שינויים בקבצי ההפעלה של המחשב, כמו ארגז החול של ילדים, שמתוחם היטב, ומשאיר את כל הפעילות המהנה (והמלכלכת) בתוך גבולות ה"ארגז".

השבוע, החל מיום רביעי, נערכה תחרות, זאת השנה הרביעית, בשם "Pwn2Own". התחרות אשר היא חלק מאירועי כנס "CanSecWest" בקנדה, קיבלה השנה חסות מגוגל, כשהיא העמידה למשתתפי התחרות פרסים של 20, 40 ו60 אלף דולר, עד לפרסים בסכום כולל של כמיליון דולר, למי שיצליח למצוא חורי אבטחה בדפדפן של החברה, שבעזרתם יוכלו הפורצים להשתלט על המחשב.

כחמש דקות מתחילת התחרות, קבוצת אבטחה צרפתית בשם "VuPen Security" הדגימה איך בעזרת כמה חולשות של הדפדפן, אפשר להשתלט על מחשב של קורבן תמים, אך הקבוצה לא גילתה בדיוק את פרטי הפריצה, כשדרך הפעולה הזאת נתמכה על ידי המארגנים. גוגל, שהעמידה סכום יפה לפורצים רק בשביל לשפר את הדפדפן, התעשה, משכה את התמיכה בתחרות, והקימה באותו כנס תחרות משלה, "Pwnium", כשפרטי החולשות שנוצלו צריכים להיות מועברים לגוגל לבדיקה.

לא מדובר על פריצות פשוטות, שאי גילוין היה מאפשר להאקרים גישה למחשבים שלך אם רק היו חפצים בכך – מדובר בפרצות שמצריכות פעולות מסויימות מצד המשתמשים, ועל כן חלק מהמשחק הוא שיטוי משתמשים פשוטים – אך הפרצות נחשבות לפרצות בכל מקרה, ובמהלך התחרות, שני האקרים גילו יחדיו סה"כ 5 חולשות בסה"כ, כשההאקר הראשון, סרגיי גלזנוב, השתמש בשתיים מהן כדי להפעיל קוד זדוני במחשב הנפרץ, ולאחר בדיקה של הצוות מגוגל הוא קיבל פרס של 60,000 דולר. ביום שישי, האקר שהזדהה בכינוי PinkiePie, הצליח להפעיל קוד זדוני על ידי ניצול של שלוש חולשות אחרות, שעליהן הוא עמל בשבוע וחצי שקדמו לתחרות. גם הפריצה שלו נבדקה על ידי הצוות של גוגל, והוא קיבל פרס של כ60,000 דולר.

בסה"כ התחרות עלתה לגוגל 120,000 דולר בפרסים, כשאת הפרצות שנתגלו גוגל תיקנו בעדכון תוך פחות מ24 שעות. כאמור, עוד לפני ייסוד התחרות של גוגל, התקיימה התחרות שבחסות הכנס, ובה תוך כ5 דקות, קבוצת "VuPen Security" הראו פריצה. אמנם לא כל הפרטים שלה הועברו לבדיקת גוגל, אך המימוש שלה איפשר לצוות של גוגל לעשות לפריצה הינדוס הפוך, ולסתום את חורי האבטחה. ההצגה של הפריצה בכזו מהירות, עלול להוות סימן לכך שפרטי פהריצה היו ידועים לקבוצה מזה זמן רב, והם הראו את הפריצה בתחרות רק כדי לעשות רושם. בהחלט ייתכן שאת הידע על ניצול החולשות הקבוצה מכרה לפני זמן רב לחברות אשר יכולות להרוויח מהחולשות האלה, וכן מדובר בדרך הפעולה הידועה של הקבוצה.

בתחרות שאיבדה את חסות גוגל, "Pwn2Own" נתגלו פרצות גם לדפדפן ה"אינטרנט אקספלורר" של מיקרוסופט, דפדפן ה"פיירפוקס" של מוזילה ודפדפן ה"ספארי" של אפל.

הפריצות אמנם מעלות חשש לאבטחת המחשבים שלנו, אך יש לזכור שהפריצות מצריכות את פעולת הקרבן כדי לממש אותן, ומלבד המספר המצומצם של הפריצות שנתגלו בתחרות, אנשי הצוות של הדפדפנים עובדים מסביב לשעון על תיקון פרצות שמתגלות כל הזמן, ומה שנתגלה בתחרות לא היו חולשות משמעותיות או כאלה שמעולם לא נתגלו מסוגן בעבר.

הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il