Zabezpieczenia Chrome OS‑a niemożliwe do złamania? Nikt nie dał sobie rady w tym roku z google'owym systemem

Kosztujący 1400 dolarów Chromebook Pixel, najnowszy z laptopówz systemem operacyjnym Google'a, doświadczonym użytkownikomkomputerów nie wydaje się niczym więcej, jak tylko baaardzo drogąprzeglądarką (ewentualnie zabawką dla kota). Z ich perspektywysystem, na którym nie można uruchomić porządnego pakietubiurowego, kompilatora czy choćby odtwarzacza mediów w formacie MKVmoże wydawać się cokolwiek kaleki. I tak jest od samegodebiutu w 2009 roku Google Chrome OS-a, systemu, który powstałtylko w jednym celu – aby uruchamiać w przeglądarce Chromeaplikacje webowe. Bez sensu? Wyniki hakerskiego konkursu Pwniumpokazują, że wizja Google'a przynosi owoce: w czasach, gdy woprogramowaniu znajduje się jedną lukę po drugiej,Chrome OS okazał się odporny na ataki najlepszych hakerów tejplanety.Pwnium jest konkursem o krótkiej tradycji: pierwsza edycja odbyłasię rok temu, jednocześnie ze słynnym pwn2own. Zasady obukonkursów są bardzo podobne – hakerskie zespoły przystępują dorywalizacji, który pierwszy zdoła pokonać zabezpieczenia laptopa zzainstalowaną najnowszą wersją systemu operacyjnego iprzeglądarką. Zwycięzca otrzymuje „zdobycznego” laptopa, orazufundowaną przez sponsorów nagrodę pieniężną. Jeszczejednak w ubiegłorocznym pwn2own napastnicy nie musieli się dzielić zproducentami przeglądarek i systemów swoimi odkryciami.Niezadowolone z takiego stanu rzeczy Google wycofało się z rolisponsora i ufundowało nagrody na własny konkurs, dotyczącywyłącznie Google Chrome i wymagający od zwycięzców ujawnieniaswoich technik.W tym roku pwn2own zmienił swoje reguły, teraz zwycięzcy chcącpodjąć nagrodę nie mogą zataić wiedzy o wykorzystanychlukach. Mimo tych zmian w regulaminie (i ponownego zaangażowania sięGoogle'a w finansowanie nagród), siostrzany konkurs ponownie zostałzorganizowany, i to z bajkową wręcz pulą nagród, wynoszącąłącznie 3,14159 mln dolarów (za każdy wykorzystany exploit możnabyło wygrać 150 tys. dolarów). Zainteresowani hakerzy mieliza zadanie przejąć chromebooka produkcji Samsunga, model Series 5500 – i po wynikach pierwszego dnia pwn2own, kiedy to z łatwościąpokonano zabezpieczenia wszystkich przeglądarek biorących udział wkonkursie (w tym Chrome), uruchomionych na systemach z rodzinyWindows (7 i 8), wydawało się, że i Chrome OS będzie łatwy dozłupienia. [img=chromebookpixel]Nic z tego. Google ogłosiło,że nikt nie zdołał przedstawić nawet jednego działającegoexploita, wymierzonego w jego minimalistyczny system operacyjny.Zgłoszono jedynie kilka propozycji, które mają szanse zostaćocenione przez deweloperów Chromium jako częścioweexploity – i jeśli okażą się skuteczne, towówczas ich twórcy otrzymają jakieś nagrody.Informacja wywołała niemałe poruszenie w branży związanej ztechnologiami webowymi. Malkontenci wskazywali, że nie ma w tym nicniezwykłego, ponieważ Chrome OS to tylko przerośniętaprzeglądarka. Być może jednakdla wielu użytkowników,szczególnie tych, dla których kontakt z komputerem ogranicza się dokorzystania z poczty, Facebooka, poczytania kilku serwisówinternetowych i pogrania w proste flashowe gry, przerośniętaprzeglądarka z niewiarygodnie wysokim poziomem zabezpieczeń stanowiwszystko, czego potrzebują – a komputer ogólnego przeznaczenia, z„normalnym” OS-em (bez względu na to, czy to będzie któreśWindows, Linux czy OS X) stanowi dla nich tylko utrapienie? Cienkieklienty – chromebooki – zaczynają być gotowe na to, by wręczyćje osobom, które wcześniej na swoich komputerach nieustannieinstalowały rozmaite trojany, paski narzędziowe w przeglądarkach,spyware i inne atrakcje. Również i twierdzenia, żejedynym powodem, dla którego Chrome OS nie uległ hakerom jest to,że nie jest to „prawdziwy system operacyjny”,wydają się niesprawiedliwe. „Wnętrze” Chrome OS-a,pierwotnie wzorowane na Ubuntu, to dziś najprawdopodobniejutwardzonegentoo z dodatkowymi mechanizmami bezpieczeństwa. Jądro tooczywiście Linux, a sam Linux, oczyszczony z problematycznychsterowników czy dziwnych protokołów sieciowych wydaje się bardzotrudny do zaatakowania. Wszystkie systemowe zasoby są wysoceizolowane za pomocą mechanizmu cgroups, najczęściejwykorzystywanej w atakach demony działają bez uprawnieńadministratora, wszystkie binarne aplikacje wykorzystujązabezpieczenia takie jak ASLR i DEP, a co najgorsze – nie tylkosystem za każdym startem sprawdza poprawność sektorauruchomieniowego i tablicy partycji, ale też wymusza podłączaniewszystkich partycji z dozwolonym zapisem jako noexec (czylinie pozwalających na uruchomienie z nich żadnej aplikacji).Partycje, z których można uruchamiać aplikacje są zawsze podpiętejako tylko do odczytu.Jak widzicie, nie bardzo wiadomoobecnie, jak do Chrome OS-a się dobrać. Zapewne trzeba będziewymyślić zupełnie nowe techniki ataku, zanim Chrome OS poddasię hakerom. A do tego czasu Google ma idealny komputer dla mas– który można dać rodzicom czy dziadkom i nie martwić się oto, że podczas następnej domowej wizyty wiele godzin spędzimy na„czyszczeniu” i konfigurowaniu ich komputerów.