Blog Forum

Google Pwnium 2 - więcej nagród, więcej pieniędzy i tylko jeden przeciwnik - Chrome

Pwn2Own – zawody w łamaniu zabezpieczeń przeglądarek to już stały element konferencji traktujących o bezpieczeństwie. Do pewnego czasu były to jedyna takie zmagania, jednak w wyniku zmian w regulaminie, pozwalającym badaczom nie przekazywać informacji o odkrytych lukach, Google wystartował ze swoim konkursem – Pwnium.

Pierwsza edycja była sukcesem, dwóch badaczy całkowicie przełamało zabezpieczenia, do tej pory niepokonanego Chrome. Nakręconym sukcesem gigant z Mountain View postanowił urządzić kolejne zmagania, które odbędą się 10 października w Kuala Lumpur podczas Hack In The Box.

Do przyciągnięcia jak największej ilości specjalistów Google podwyższyło o 100% pulę nagród – z 1 do 2 mln $. Chociaż wygląda to na astronomiczną kwotę przy budżecie Pwn2Own, który wynosi 200 tys $, to należy wspomnieć, że w pierwszej edycji z puli wypłacono zaledwie 120 tys $.

Za co i ile płaci producent Chrome?
– „Full Chrome exploit” – 60 tys $ – exploit wykorzystujący jeden błąd w przeglądarce
– „Partial Chrome exploit” – 50 tys $ – exploit wykorzystujący jeden błąd w przeglądarce oraz jeden lub więcej w oprogramowaniu firm trzecich (wzrost kwoty o 25%)
– „Non-Chrome exploit” – 40 tyś $ – exploit wykorzystujący błędy w oprogramowaniu firm trzecich
– „Incomplete exploit” – do decyzji jury – exploit wykorzystujący błąd w przeglądarce, bez przełamania sandbox

Środowiskiem uruchomieniowym będzie Windows 7, a nagrody przypadną tym osobą które nie tylko doprowadzą do pełnej kompromitacji zabezpieczeń ale również przekażą kod programu wykorzystującego błędy w Chrome.

Prócz Pwnium Google prowadzi również stały program wynagradzania za błędy – Vulnerability Rewards Program. Obejmuje on główne usługi web giganta (*.google.com, *.youtube.com, *.blogger.com, *.orkut.com) oraz Chrome. W niecały rok po uruchomieniu go, wypłacono prawie 0.5 mln $.

Firmy coraz częściej opłacają osoby, które wykryły błędy w ich oprogramowaniu. To nie tylko zachęta do dalszej współpracy ale również swego rodzaju umowa aby informacje o luce nie ujrzały światła dziennego przed opublikowaniem poprawek. Niestety, są też takie które wolą nasłać prawników niż przyznać się do luk w swoim oprogramowaniu. Ten sposób w dużym stopniu naraża nas, użytkowników, na niebezpieczeństwo dlatego warto na bieżąco aktualizować oprogramowanie.

Źródło: Blog.chromium.org

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst