10:26
29/2/2012

Google wycofało się ze sponsoringu znanego konkursu Pwn2Own, który polega na wyszukiwaniu 0day’ów w oprogramowaniu. Firmie nie spodobały się “zasady” nie wymuszające udostępnienia wszystkich informacji związanych z odkrytymi dziurami. Google nie rezygnuje jednak całkowicie z płacenia za błędy — przenosi się po prostu do innej piaskownicy, swojej, na swoich zasadach. I daje milion dolarów tym, którym zasady te nie będą przeszkadzać.

Pwn2Own vs Pwnium

pwn2own to konkurs polegający na znalezieniu nieznanego błędu (tzw. 0day) w oprogramowaniu danego producenta. Co roku w szranki staje kilku badaczy bezpieczeństwa, którzy próbują pokonać zabezpieczenia danego produktu (przede wszystkim różnych systemów operacyjnych i przeglądarek). Zasady są proste: pokażesz działający exploit, zgłosisz bug report, dostajesz nagrodę (zazwyczaj pieniądze + sprzęt, który atakowałeś).

Google nie spodobało się jednak to, że twórcy exploitów nie muszą w ramach pwn2own pokazywać kodu exploita ani opisywać techniki exploitacji, za pomocą której znaleźli dany błąd. Dlatego postanowiło zrezygnować ze sponsoringu pwn2own i otworzyć konkurencyjną imprezę o nazwie Pwnium — równoległą do pwn2own. Na nagrody przeznaczono milion dolarów, ale haczyk jest taki, że znalazcy błędów będą musieli bardzo dokładnie opisać to, jak odkryli daną podatność — od początku do końca.

Jak dokładny powininen być bug-raport?

Takie zasady nie wszystkim się podobają. Wielokrotny zwycięzca pwn2own Charlie Miller, twierdzi, że nigdy nie przekazywał exploitów na pwn2own i nie zamierza tego robić. Według niego, tajne techniki exploitacji muszą pozostać tajne. Zgadza się z nim Chaouki z VUPEN-a, firmy znanej z tworzenia exploitów.

Charlie pwnium

Charlie na Twitterze

Google wystawiając wysokie nagrody (do 60 000 USD za exploita) w swoim konkursie wykonało sprytny ruch — kwota jest na tyle kusząca, że twórcy exploitów pewnie zastanowią się, czy chcą przechodzić przez “trudy” sprzedawania exploita na czarnym rynku, czy wolą go oddać producentowi i otrzymać “bezproblemową” zapłatę.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

14 komentarzy

Dodaj komentarz
  1. Imo pomysł google lepszy. i nagrody kuszące więc pewniakiem ktoś się znajdzie :)

    • No i “czysta” droga, no ale jeśli ktoś chce się bawić i faktycznie coś sensownego odkrył.. to można tą “śmieszną” kwotę google zwielokrotnić.

    • Mam nadzieję, że jednak się nie znajdzie i impreza upadnie… Pomarzyć można. ;]

  2. “z odkrytymi dziurach. “

  3. “tajne techniki exploitacji muszą pozostać tajne” brzmi trochę jak głębokie ukrycie- jak ktoś mocno chce i ma głowę to technika przestanie być tajna. Ujawnianie takich technik powinno uświadomić developerów i pomogłoby uniknąć luk w bezpieczeństwie.

  4. Brakuje mi tu linka do źródła:
    http://blog.chromium.org/2012/02/pwnium-rewards-for-exploits.html

  5. Tak w nawiązaniu do Google, czy Niebezpiecznik jako redakcja mógłby napisac artykuł jak zabezpieczyć swoja prywatność w Internecie? Myślę, że takie zagadnienie byłoby bardzo popularne wśród czytających. Może jakieś szkolenie lub prelekcja na ten temat. Chodziłoby głównie o możliwości śledzenia np. przez Google. Np. czy samo wylogowanie się z konta zapobiega możliwości powiązania nas z wcześniej zalogowanym kontem, czy jeżeli ściągamy pocztę firefoxem a internet przeglądamy Operą to czy Google powiąże te dwa pliki cookie, czy odbierając pocztę poprzez program pocztowy również zostaniemy powiązani, czy Google stosuje inne metody powiązania aktywności jednego użytkownika o różnych kontach, czy stosowane są ciasteczka flashowe. Myślę, że możecie wykorzystać kontakty w środowisku i spróbować dotrzeć do tych informacji. Pozdrawiam.

    • google stosuje inne techniki – równiez te mniej legalne – zawsze wie wszystko – sa kwestie któryh nie da sie ominac nawet uzywajac emulatora – jedynym sposoem ukrycia tozsamosci – jest botnet :)

  6. Twórcy się sprzeciwiają bo:
    1. technikę eksplojtacji wykorzystają za rok i zgarną kasjure
    2. technika po przekazaniu googlowi może zostać wykradziona i czyt. pkt 1 – kto inny zarabia kaske

  7. “tajne techniki exploitacji muszą pozostać tajne” bo wtedy można więcej bug bounty zgarnąć przy mniejszym nakładzie pracy ;].

    • Jakbyś naprawdę wierzył w prostotę tego modelu, to zamiast na niebezpieczniku siedzieć, byś budował sobie bazę wiedzy, używając OllyDbg. ;)

  8. […] 3 różne błędy, aby przejąć kontrolę nad przeglądarką Google Chrome. Wszystko w ramach konkursu Pwnium. Na pwn2own VUPEN “położył” Chrome, ale nie ujawnił wykorzystanej podatności […]

  9. […] wszystkich działań muszą jednak znajdować się exploity na podatności 0day — te albo pisze się samemu, albo — co jest bardziej ryzykowne — skupuje na […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: