Tag Archives: Chromium

Google Chrome: Sergey Glazunov och Pinkie Pie tog priser i Pwnium

Som jag skrev för en dryg vecka sedan så har Google övergivit hackertävlingen Pwn2Own på CanSecWest-mässan för att de nya reglerna inte passade dem. Istället lade man en miljon dollar i prispotten på en ny tävling, Pwnium, som helt går ut på att hitta svagheter i Chromium, det vill säga källkoden till Google Chrome. 

Google Chrome kan nog sägas vara den säkraste av de stora webbläsarna, tack vare sandlådetekniken. Vissa processer körs alltså i en form av virtuell miljö som gör att angriparen begränsas ganska kraftigt i vad han eller hon kan göra med datorn genom webbläsaren.

I år delades prispengar faktiskt ut, tidigare år har det varit ganska skralt med hittade svagheter. Sergey Glazunov och Pinkie Pie, av allt att döma en rosa plasthäst, tog hem 60 000 dollar var ur prissumman på en miljon dollar. Glazunov tog sig runt sandlådan.

Google visar sig i undersökningar vara den arbetsplats där unga helst av allt vill jobba och Pwnium blir ytterligare en del i deras makalösa employer branding-arbete – tävlingen är avslutad och nu delas resten av prispengarna, 880 000  dollar, ut till teamet på Google som jobbar med att hålla Chrome säkert.

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.