10:26
29/2/2012

Google wycofało się ze sponsoringu znanego konkursu Pwn2Own, który polega na wyszukiwaniu 0day’ów w oprogramowaniu. Firmie nie spodobały się “zasady” nie wymuszające udostępnienia wszystkich informacji związanych z odkrytymi dziurami. Google nie rezygnuje jednak całkowicie z płacenia za błędy — przenosi się po prostu do innej piaskownicy, swojej, na swoich zasadach. I daje milion dolarów tym, którym zasady te nie będą przeszkadzać.

Pwn2Own vs Pwnium

pwn2own to konkurs polegający na znalezieniu nieznanego błędu (tzw. 0day) w oprogramowaniu danego producenta. Co roku w szranki staje kilku badaczy bezpieczeństwa, którzy próbują pokonać zabezpieczenia danego produktu (przede wszystkim różnych systemów operacyjnych i przeglądarek). Zasady są proste: pokażesz działający exploit, zgłosisz bug report, dostajesz nagrodę (zazwyczaj pieniądze + sprzęt, który atakowałeś).

Google nie spodobało się jednak to, że twórcy exploitów nie muszą w ramach pwn2own pokazywać kodu exploita ani opisywać techniki exploitacji, za pomocą której znaleźli dany błąd. Dlatego postanowiło zrezygnować ze sponsoringu pwn2own i otworzyć konkurencyjną imprezę o nazwie Pwnium — równoległą do pwn2own. Na nagrody przeznaczono milion dolarów, ale haczyk jest taki, że znalazcy błędów będą musieli bardzo dokładnie opisać to, jak odkryli daną podatność — od początku do końca.

Jak dokładny powininen być bug-raport?

Takie zasady nie wszystkim się podobają. Wielokrotny zwycięzca pwn2own Charlie Miller, twierdzi, że nigdy nie przekazywał exploitów na pwn2own i nie zamierza tego robić. Według niego, tajne techniki exploitacji muszą pozostać tajne. Zgadza się z nim Chaouki z VUPEN-a, firmy znanej z tworzenia exploitów.

Charlie pwnium

Charlie na Twitterze

Google wystawiając wysokie nagrody (do 60 000 USD za exploita) w swoim konkursie wykonało sprytny ruch — kwota jest na tyle kusząca, że twórcy exploitów pewnie zastanowią się, czy chcą przechodzić przez “trudy” sprzedawania exploita na czarnym rynku, czy wolą go oddać producentowi i otrzymać “bezproblemową” zapłatę.

Przeczytaj także:

14 komentarzy

Dodaj komentarz
  1. Imo pomysł google lepszy. i nagrody kuszące więc pewniakiem ktoś się znajdzie :)

    • No i “czysta” droga, no ale jeśli ktoś chce się bawić i faktycznie coś sensownego odkrył.. to można tą “śmieszną” kwotę google zwielokrotnić.

    • Mam nadzieję, że jednak się nie znajdzie i impreza upadnie… Pomarzyć można. ;]

  2. “z odkrytymi dziurach. “

  3. “tajne techniki exploitacji muszą pozostać tajne” brzmi trochę jak głębokie ukrycie- jak ktoś mocno chce i ma głowę to technika przestanie być tajna. Ujawnianie takich technik powinno uświadomić developerów i pomogłoby uniknąć luk w bezpieczeństwie.

  4. Brakuje mi tu linka do źródła:
    http://blog.chromium.org/2012/02/pwnium-rewards-for-exploits.html

  5. Tak w nawiązaniu do Google, czy Niebezpiecznik jako redakcja mógłby napisac artykuł jak zabezpieczyć swoja prywatność w Internecie? Myślę, że takie zagadnienie byłoby bardzo popularne wśród czytających. Może jakieś szkolenie lub prelekcja na ten temat. Chodziłoby głównie o możliwości śledzenia np. przez Google. Np. czy samo wylogowanie się z konta zapobiega możliwości powiązania nas z wcześniej zalogowanym kontem, czy jeżeli ściągamy pocztę firefoxem a internet przeglądamy Operą to czy Google powiąże te dwa pliki cookie, czy odbierając pocztę poprzez program pocztowy również zostaniemy powiązani, czy Google stosuje inne metody powiązania aktywności jednego użytkownika o różnych kontach, czy stosowane są ciasteczka flashowe. Myślę, że możecie wykorzystać kontakty w środowisku i spróbować dotrzeć do tych informacji. Pozdrawiam.

    • google stosuje inne techniki – równiez te mniej legalne – zawsze wie wszystko – sa kwestie któryh nie da sie ominac nawet uzywajac emulatora – jedynym sposoem ukrycia tozsamosci – jest botnet :)

  6. Twórcy się sprzeciwiają bo:
    1. technikę eksplojtacji wykorzystają za rok i zgarną kasjure
    2. technika po przekazaniu googlowi może zostać wykradziona i czyt. pkt 1 – kto inny zarabia kaske

  7. “tajne techniki exploitacji muszą pozostać tajne” bo wtedy można więcej bug bounty zgarnąć przy mniejszym nakładzie pracy ;].

    • Jakbyś naprawdę wierzył w prostotę tego modelu, to zamiast na niebezpieczniku siedzieć, byś budował sobie bazę wiedzy, używając OllyDbg. ;)

  8. […] 3 różne błędy, aby przejąć kontrolę nad przeglądarką Google Chrome. Wszystko w ramach konkursu Pwnium. Na pwn2own VUPEN “położył” Chrome, ale nie ujawnił wykorzystanej podatności […]

  9. […] wszystkich działań muszą jednak znajdować się exploity na podatności 0day — te albo pisze się samemu, albo — co jest bardziej ryzykowne — skupuje na […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: