Google Pwnium 2 - więcej nagród, więcej pieniędzy i tylko jeden przeciwnik - Chrome
Pwn2Own - zawody w łamaniu zabezpieczeń przeglądarek to już stały element konferencji traktujących o bezpieczeństwie. Do pewnego czasu były to jedyna takie zmagania, jednak w wyniku zmian w regulaminie, pozwalającym badaczom nie przekazywać informacji o odkrytych lukach, Google wystartował ze swoim konkursem - Pwnium.
Pierwsza edycja była sukcesem, dwóch badaczy całkowicie przełamało zabezpieczenia, do tej pory niepokonanego Chrome. Nakręconym sukcesem gigant z Mountain View postanowił urządzić kolejne zmagania, które odbędą się 10 października w Kuala Lumpur podczas Hack In The Box.
Do przyciągnięcia jak największej ilości specjalistów Google podwyższyło o 100% pulę nagród - z 1 do 2 mln $. Chociaż wygląda to na astronomiczną kwotę przy budżecie Pwn2Own, który wynosi 200 tys $, to należy wspomnieć, że w pierwszej edycji z puli wypłacono zaledwie 120 tys $.
Za co i ile płaci producent Chrome?
- „Full Chrome exploit” - 60 tys $ - exploit wykorzystujący jeden błąd w przeglądarce
- „Partial Chrome exploit” - 50 tys $ - exploit wykorzystujący jeden błąd w przeglądarce oraz jeden lub więcej w oprogramowaniu firm trzecich (wzrost kwoty o 25%)
- „Non-Chrome exploit” - 40 tyś $ - exploit wykorzystujący błędy w oprogramowaniu firm trzecich
- „Incomplete exploit” - do decyzji jury - exploit wykorzystujący błąd w przeglądarce, bez przełamania sandbox
Środowiskiem uruchomieniowym będzie Windows 7, a nagrody przypadną tym osobą które nie tylko doprowadzą do pełnej kompromitacji zabezpieczeń ale również przekażą kod programu wykorzystującego błędy w Chrome.
Prócz Pwnium Google prowadzi również stały program wynagradzania za błędy - Vulnerability Rewards Program. Obejmuje on główne usługi web giganta (*.google.com, *.youtube.com, *.blogger.com, *.orkut.com) oraz Chrome. W niecały rok po uruchomieniu go, wypłacono prawie 0.5 mln $.
Firmy coraz częściej opłacają osoby, które wykryły błędy w ich oprogramowaniu. To nie tylko zachęta do dalszej współpracy ale również swego rodzaju umowa aby informacje o luce nie ujrzały światła dziennego przed opublikowaniem poprawek. Niestety, są też takie które wolą nasłać prawników niż przyznać się do luk w swoim oprogramowaniu. Ten sposób w dużym stopniu naraża nas, użytkowników, na niebezpieczeństwo dlatego warto na bieżąco aktualizować oprogramowanie.
Źródło: Blog.chromium.org
