Het Franse beveiligingsbedrijf VUPEN won afgelopen nacht 100.000 dollar met het hacken van Internet Explorer 10 op een MS Surface Pro tablet met Windows 8, maar volgens de oprichter is dit bedrag niet voldoende om de kosten te dekken. De hack was onderdeel van Pwn2Own, een jaarlijks terugkerende wedstrijd waarbij geprobeerd wordt om lekken in populaire browsers te vinden.
"We hebben lang nagedacht om dit jaar mee te doen, omdat de kosten van een betrouwbare exploit erg hoog zijn. We zijn verschillende weken bezig geweest met het vinden van het lek in IE10 en verschillende weken met het schrijven van een betrouwbare exploit", laat Bekrar tegenover Dennis Fisher van Kaspersky Lab weten. "Zelfs de prijzen van Pwn2Own dekken die kosten niet. Maar we hebben andere technieken."
Sandbox
Volgens Bekrar wordt het schrijven van exploits steeds lastiger. "Java is erg eenvoudig omdat er geen sandbox is. Flash is een ander verhaal en wordt steeds bijgewerkt en Adobe heeft goed werk geleverd met de beveiliging ervan", gaat Bekrar verder. Die stelt dat het kostbaarder is om een exploit voor Flash Player dan voor Java te ontwikkelen.
"We zien dat criminelen van Flash naar Java gaan. We zien niet veel Flash-exploits in het wild." Bekrar vindt dat Oracle Java opnieuw moet ontwerpen. "De codebasis is te groot. Het toevoegen van een sandbox in de browser verandert daar niets aan."
Wat betreft browsers is Bekrar vol lof over Google Chrome, hoewel die browser ook tijdens Pwn2Own sneuvelde. "Chrome is vanwege de sandbox waarschijnlijk het lastigst aan te vallen. De zwakte in Chrome is Webkit en de sterkte is de sandbox."
De reden dat Chrome zo veilig is komt doordat ze niet alleen lekken verhelpen, maar proactief zijn in het oplossen van technieken om de sandbox-beveiliging te omzeilen, besluit de hacker.
Deze posting is gelocked. Reageren is niet meer mogelijk.