A A A

Charlie Miller o bezpieczeństwie przeglądarek WWW

23 marca 2009, 10:16
Postać Charliego Millera przybliżyliśmy już na łamach naszego serwisu przy okazji publikacji informacji o niedawno zakończonym konkursie PWN2OWN Contest, którego zwycięzcą został właśnie Miller, po tym, jak pokonał zabezpieczenia przeglądarki Safari. W wywiadzie udzielonym przedstawicielowi jednego z popularnych amerykańskich serwisów online z branży komputerowej, Miller ujawnia swoje zdanie odnośnie najpopularniejszych obecnie przeglądarek.
Charlie Miller o bezpieczeństwie przeglądarek WWW

Ryan Narraine z serwisu ZDNet.com miał okazję spotkać się z Charliem Millerem na konferencji CanSecWest odbywającej się w Vancouver. Przeprowadzona rozmowa dotyczyła bezpieczeństwa współczesnych przeglądarek, luk oraz potrzeby wprowadzenia antyexploitowych modyfikacji we współczesnych systemach operacyjnych.

Ciekawostką jest to, że Miller stwierdził, iż znacznie łatwiej utworzyć exploity (programy, które ułatwiają wykorzystanie wykrytych przez hakera luk) w systemie Mac OS X, aniżeli w Windows. System operacyjny Microsoftu jest wyposażony w mechanizmy znacznie utrudniające działanie exploitów, system Apple'a – zdaniem Millera – jest takich zabezpieczeń pozbawiony, co oznacza, że równie łatwo, jak mówi Miller, byłoby utworzyć exploita do Firefoksa działającego w systemie Mac OS X.

Odrębną kwestią poruszoną przez Millera było wynagrodzenie dla programistów, którzy wynajdują i odkrywają luki w oprogramowaniu. Miller argumentował, że skoro programiści piszący oprogramowanie (które jest podatne na exploity) dostają odpowiednie wynagrodzenie, to i ci, którzy odnajdują luki w oprogramowaniu oraz potrafią opracować program zdolny do wykorzystywania tych luk (exploit), również powinni być wynagradzani. Miller jest przeciwny udostępnianiu za darmo wiedzy o nowych, odkrytych przez niezależnych programistów, lukach. Co więcej, własnego exploita, którego zaprezentował przy okazji przeprowadzenia w ramach konkursu skutecznego ataku na przeglądarkę Safari, wycenia na więcej niż 5000 dolarów (tyle za niego otrzymał w ramach konkursu).

Miller wypowiada się również w samych superlatywach o wiedzy swojego konkurenta – hakera o pseudonimie Nils. Miller był zszokowany, że ktokolwiek porywa się na złamanie zabezpieczeń tak nowego produktu jak Internet Explorer 8. Nils nie tylko się "porwał", ale i skutecznie pokonał zabezpieczenia IE8 działającego pod kontrolą Windows 7 (oprócz tego Nils poradził sobie z Safari i Firefoksem). O wiedzy Nilsa niech świadczy fakt, że Miller uznał, iż exploity Nilsa są warte co najmniej 50 tysięcy dolarów każdy. Nils przegrał z Millerem tylko dlatego, że złamanie zabezpieczeń zajęło mu trochę więcej czasu.

Jedno z pytań wywiadu dotyczyło przeglądarki Google Chrome, która oparła się atakom hakerów. Miller wyjaśnił, że to nie kwestia braku luk w Chrome. Luki istnieją, jednak dzięki przemyślanej konstrukcji tej przeglądarki (Google wbudowało w Chrome tzw. mechanizm piaskownicy – z ang. sandbox) oraz zabezpieczeniom wbudowanym w Windows (system pod kontrolą którego Chrome działa), opracowanie działającego exploita umożliwiającego przejęcie kontroli nad komputerem jest bardzo trudne, ale, jak dodał Miller, nie niemożliwe.

Zdaniem zwycięzcy PWN2OWN Contest wszystko jest kwestią ceny. Gdyby organizatorzy konkursu zdecydowali się na zapłatę 1 miliona dolarów za każdy skutecznie wykorzystany błąd w przeglądarce Google'a, z pewnością znalazłaby się na tyle liczna grupa zdolnych hakerów, która doprowadziłaby organizatorów do bankructwa – twierdzi Miller.

Źródło: ZDNet


Tagi: internet
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nie zapomnij o haśle!
21 czerwca 2022
Choć mogą się wydawać mało nowoczesne, hasła to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale także...


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto