När hackertävlingen Pwn2Own går av stapeln nästa månad kommer Google delta på ett annat sätt än tidigare. Istället för att ställa upp som sponsor har de en egen tävling på plats – med upp till en miljon dollar utlovade till de som kan knäcka deras webbläsare.

Pwn2Own är en tävling där hackare får möjlighet att testa sina färdigheter mot allehanda mjukvaror, så som operativsystem, webbläsare och andra applikationer, och kan vinna priser i processen. I gengäld får utvecklarna på ett effektivt sätt reda på säkerhetshål i sin mjukvara som de sedan kan rätta till. Google har varit sponsorer av tävlingen sedan 2009, men ändringar i reglerna har fått företaget att ändra på sitt deltagande. 

”We decided to withdraw our sponsorship when we discovered that contestants are permitted to enter Pwn2Own without having to reveal full exploits, or even all of the bugs used, to vendors.[…]Full exploits have been handed over in previous years, but it’s an explicit non-requirement in this year’s contest, and that’s worrisome,” Chris Evans och Justin Schuh, Chromes säkerhetsteam hos Google

Regeländringen Google syftar på framgick i en Twitteruppdatering från ZDI (Zero Day Initiative, ett bughittarutskott från HP TippingPoint), som är huvudsponsor och ansvarar för tävlingen. I uppdateringen konstaterades att deltagarna bara behöver överlämna en rapport till utvecklaren om de vinner en tävling – om de lyckas hitta säkerhetshål men inte vinner får de hålla informationen för sig själva, vilket enligt Google representerar en allvarlig säkerhetsbrist i tävlingen.

Istället har Google valt att anordna en egen tävling parallellt med Pwn2Own på datorsäkerhetskonferensen CanSecWest i år. Till skillnad från tidigare tävlingar, då Google utlovat en belöning på 20 000 dollar för en exploatering som bygger på enbart brister i Chrome i Windows-miljö, erbjuder Google i år 60 000 dollar för samma bedrift. De erbjuder också 40 000 dollar för en exploatering som bygger på brister i Chrome tillsammans med brister i annan programvara, såsom brister i Windows. Google har dock satt ett maxtak på en miljon dollar, så för dem som vill ha chansen att vinna pengar är det först till kvarn som gäller.

För att förhindra att exploatering från Googles tävling används i Pwn2Own måste alla deltagandes exploateringar redovisas för Google, varesig de leder till ett pris eller inte.

Källa: ComputerWorld


6
Leave a Reply

Please Login to comment
6 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
4 Comment authors
sociolog studentS0urcerr0RCarl Holmbergthis Recent comment authors
  Subscribe  
senaste äldsta flest röster
Notifiera vid
this
Medlem
this

En jävligt smart metod att förbättra säkerheten, men man kan ju undra om vissa hackare ändå kan tjäna mer pengar på att inte avslöja hålet och istället utnyttja det till elak programvara.

Carl Holmberg
Gäst
Carl Holmberg

[quote name=”this”]En jävligt smart metod att förbättra säkerheten, men man kan ju undra om vissa hackare ändå kan tjäna mer pengar på att inte avslöja hålet och istället utnyttja det till elak programvara.[/quote]

Det är ju också möjligtvis en anledning till att Google erbjuder högre prissummor i sin tävling, för att förhoppningsvis göra det mer värt besväret för hackare att redovisa bristerna istället. De lär ju dock aldrig få med alla trots högre summor, fast kanske i alla fall lite effektivare än Pwn2Own.

S0urcerr0R
Medlem
S0urcerr0R

Hmm… Inte garanterad belöning för att vara först med att hitta nya säkerhetshål alltså?!

Om jag var hacker så skulle jag inte nappa på att ta mej massa tid att redogöra och hjälpa google utan lön.
Man kan ju inte änns vara helt 100% säker på att Google inte själva riggat tävlingen och bestämt på förhand att ”en viss person” ska presentera det vinnande säkerhetshålet.

Carl Holmberg
Gäst
Carl Holmberg

[quote name=”S0urcerr0R”]Hmm… Inte garanterad belöning för att vara först med att hitta nya säkerhetshål alltså?!

Om jag var hacker så skulle jag inte nappa på att ta mej massa tid att redogöra och hjälpa google utan lön.
Man kan ju inte änns vara helt 100% säker på att Google inte själva riggat tävlingen och bestämt på förhand att ”en viss person” ska presentera det vinnande säkerhetshålet.[/quote]

Samma sak kan ju dock sägas om mer eller mindre alla tävlingar av det här slaget, inklusive Pwn2Own.

S0urcerr0R
Medlem
S0urcerr0R

Ja – om dom oxå tvingar sina deltagare att ge en fullständig rapport o redogörelse av säkerhetshålet oavsett vinst.

Jag tycker google ska vara glada att förlorarna exponerat bristerna, men att även be dom göra jobbet att täppa igen hålen utan betalning är fult.

sociolog student
Gäst
sociolog student

alltså hur mycket vinner hackern? attar inte riktigt kan någon förklara?