Google skupno ponuja milijon dolarjev za ranljivosti v Chromu

Matej Huš

29. feb 2012 ob 11:27:11

Približuje se letošnji dogodek CanSecWest, ki vsako leto marca poteka v kanadskem Vancouvru in v okviru katerega se odvije tudi hekersko tekmovanje Pwn2Own. Na njem se pomerijo ekipe strokovnjakov iz celega sveta in poizkusijo izkoristiti ranljivosti v brskalnikih in mobilnih telefonih, zmagovalci pa so bogato nagrajeni. Letošnji CanSecWest se bo začel danes teden in bo trajal tri dni. Program bo podoben kot lani, le da se je Google odločil, da ne bo več sodeloval, ampak bo razpisal lastno tekmovanje.

Razlog je sprememba pravil na Pwn2Own, ki od letos od tekmovalcev ne zahteva več, da razkrijejo vse hrošče in ranljivosti, ki so jih našli in na tekmovanju vsaj poizkusili izrabiti. Google meni, da je sprememba neprimerna in nevarna, zato ne bodo sponzorirali dela Pwn2Owna, ki se nanaša na brskalnik Chrome. Namesto tega bodo ponudili lastno tekmovanje, kjer bodo skupaj razdelili do milijona dolarjev nagrad. Tod bodo morali tekmovalci vse hrošče razkriti, medtem ko bo Google o tistih, ki se nanašajo na drugo programsko opremo, poročal tudi ustreznim proizvajalcem.

Nagrade se bodo delile v treh razredih. Za vdore, ki izkoriščajo le ranljivosti v Chromu (full exploit), bodo podelili 60.000 dolarjev. Za kombinirane vdore, kjer je potrebno izkoristiti ranljivosti v Chromu in zunanjih programih ali operacijskem sistemu, bo na voljo 40.000 dolarjev. Tolažilno nagrado 20.000 bo prejel, kdor bo odkril način, kako kompromitirati brskalnik Chrome z uporabo ranljivosti v zunanji programski opremi, recimo vtičnikih za Flash, Adobe itd. Vsi prejmejo tudi brezplačen prenosnik Chromebook. Google s tem nadgrajuje program CSR (Chromium Security Rewards), v sklopu katerega že več kot dve leti delijo finančne nagrade za prijavljene hrošče.