10:26
29/2/2012

Google rezygnuje ze sponsoringu pwn2own, ogłasza swój konkurs i daje $1 mln za bugi w Chrome

Autor: vi.curry | Tagi:  

Google wycofało się ze sponsoringu znanego konkursu Pwn2Own, który polega na wyszukiwaniu 0day’ów w oprogramowaniu. Firmie nie spodobały się “zasady” nie wymuszające udostępnienia wszystkich informacji związanych z odkrytymi dziurami. Google nie rezygnuje jednak całkowicie z płacenia za błędy — przenosi się po prostu do innej piaskownicy, swojej, na swoich zasadach. I daje milion dolarów tym, którym zasady te nie będą przeszkadzać.

Pwn2Own vs Pwnium

pwn2own to konkurs polegający na znalezieniu nieznanego błędu (tzw. 0day) w oprogramowaniu danego producenta. Co roku w szranki staje kilku badaczy bezpieczeństwa, którzy próbują pokonać zabezpieczenia danego produktu (przede wszystkim różnych systemów operacyjnych i przeglądarek). Zasady są proste: pokażesz działający exploit, zgłosisz bug report, dostajesz nagrodę (zazwyczaj pieniądze + sprzęt, który atakowałeś).

Google nie spodobało się jednak to, że twórcy exploitów nie muszą w ramach pwn2own pokazywać kodu exploita ani opisywać techniki exploitacji, za pomocą której znaleźli dany błąd. Dlatego postanowiło zrezygnować ze sponsoringu pwn2own i otworzyć konkurencyjną imprezę o nazwie Pwnium — równoległą do pwn2own. Na nagrody przeznaczono milion dolarów, ale haczyk jest taki, że znalazcy błędów będą musieli bardzo dokładnie opisać to, jak odkryli daną podatność — od początku do końca.

Jak dokładny powininen być bug-raport?

Takie zasady nie wszystkim się podobają. Wielokrotny zwycięzca pwn2own Charlie Miller, twierdzi, że nigdy nie przekazywał exploitów na pwn2own i nie zamierza tego robić. Według niego, tajne techniki exploitacji muszą pozostać tajne. Zgadza się z nim Chaouki z VUPEN-a, firmy znanej z tworzenia exploitów.

Charlie pwnium

Charlie na Twitterze

Google wystawiając wysokie nagrody (do 60 000 USD za exploita) w swoim konkursie wykonało sprytny ruch — kwota jest na tyle kusząca, że twórcy exploitów pewnie zastanowią się, czy chcą przechodzić przez “trudy” sprzedawania exploita na czarnym rynku, czy wolą go oddać producentowi i otrzymać “bezproblemową” zapłatę.

Przeczytaj także:

Niebezpiecznik

14 komentarzy

Dodaj komentarz
  1. DominiqueLV 2012.02.29 10:50 | # | Reply

    Imo pomysł google lepszy. i nagrody kuszące więc pewniakiem ktoś się znajdzie :)

    • Dexterxx 2012.02.29 11:26 | # |

      No i “czysta” droga, no ale jeśli ktoś chce się bawić i faktycznie coś sensownego odkrył.. to można tą “śmieszną” kwotę google zwielokrotnić.

    • Berion 2012.02.29 11:48 | # |

      Mam nadzieję, że jednak się nie znajdzie i impreza upadnie… Pomarzyć można. ;]

  2. h 2012.02.29 12:50 | # | Reply

    “z odkrytymi dziurach. “

  3. Krzysiek 2012.02.29 13:02 | # | Reply

    “tajne techniki exploitacji muszą pozostać tajne” brzmi trochę jak głębokie ukrycie- jak ktoś mocno chce i ma głowę to technika przestanie być tajna. Ujawnianie takich technik powinno uświadomić developerów i pomogłoby uniknąć luk w bezpieczeństwie.

  4. troll 2012.02.29 13:03 | # | Reply

    Brakuje mi tu linka do źródła:
    http://blog.chromium.org/2012/02/pwnium-rewards-for-exploits.html

  5. miki 2012.02.29 14:26 | # | Reply

    Tak w nawiązaniu do Google, czy Niebezpiecznik jako redakcja mógłby napisac artykuł jak zabezpieczyć swoja prywatność w Internecie? Myślę, że takie zagadnienie byłoby bardzo popularne wśród czytających. Może jakieś szkolenie lub prelekcja na ten temat. Chodziłoby głównie o możliwości śledzenia np. przez Google. Np. czy samo wylogowanie się z konta zapobiega możliwości powiązania nas z wcześniej zalogowanym kontem, czy jeżeli ściągamy pocztę firefoxem a internet przeglądamy Operą to czy Google powiąże te dwa pliki cookie, czy odbierając pocztę poprzez program pocztowy również zostaniemy powiązani, czy Google stosuje inne metody powiązania aktywności jednego użytkownika o różnych kontach, czy stosowane są ciasteczka flashowe. Myślę, że możecie wykorzystać kontakty w środowisku i spróbować dotrzeć do tych informacji. Pozdrawiam.

    • radziu 2015.12.09 08:47 | # |

      google stosuje inne techniki – równiez te mniej legalne – zawsze wie wszystko – sa kwestie któryh nie da sie ominac nawet uzywajac emulatora – jedynym sposoem ukrycia tozsamosci – jest botnet :)

  6. zdzicho 2012.02.29 14:28 | # | Reply

    Twórcy się sprzeciwiają bo:
    1. technikę eksplojtacji wykorzystają za rok i zgarną kasjure
    2. technika po przekazaniu googlowi może zostać wykradziona i czyt. pkt 1 – kto inny zarabia kaske

  7. XANi 2012.02.29 16:32 | # | Reply

    “tajne techniki exploitacji muszą pozostać tajne” bo wtedy można więcej bug bounty zgarnąć przy mniejszym nakładzie pracy ;].

    • widelec 2012.03.01 10:08 | # |

      Jakbyś naprawdę wierzył w prostotę tego modelu, to zamiast na niebezpieczniku siedzieć, byś budował sobie bazę wiedzy, używając OllyDbg. ;)

  8. » * Kolejny exploit na Chrome -- Niebezpiecznik.pl -- 2012.03.10 16:31 | # | Reply

    […] 3 różne błędy, aby przejąć kontrolę nad przeglądarką Google Chrome. Wszystko w ramach konkursu Pwnium. Na pwn2own VUPEN “położył” Chrome, ale nie ujawnił wykorzystanej podatności […]

  9. » Wirusy nie potrzebują paszportów -- Niebezpiecznik.pl -- 2012.11.30 11:56 | # | Reply

    […] wszystkich działań muszą jednak znajdować się exploity na podatności 0day — te albo pisze się samemu, albo — co jest bardziej ryzykowne — skupuje na […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: