Google rezygnuje ze sponsoringu pwn2own, ogłasza swój konkurs i daje $1 mln za bugi w Chrome

[forest 7041]

Google wycofa??o siÄ? ze sponsoringu znanego konkursu Pwn2Own, kt??ry polega na wyszukiwaniu 0dayâ????w w oprogramowaniu. Firmie nie spodoba??y siÄ? â??zasadyâ? nie wymuszajÄ?ce udostÄ?pnienia wszystkich informacji zwiÄ?zanych z odkrytymi dziurach. Google nie rezygnuje jednak ca??kowicie z p??acenia za b??Ä?dy â?? przenosi siÄ? po prostu do innej piaskownicy, swojej, na swoich zasadach. I daje milion dolar??w tym, kt??rym zasady te nie bÄ?dÄ? przeszkadzaÄ?.

 

Pwn2Own vs Pwnium

 

pwn2own to konkurs polegajÄ?cy na znalezieniu nieznanego b??Ä?du (tzw. 0day) w oprogramowaniu danego producenta. Co roku w szranki staje kilku badaczy bezpiecze??stwa, kt??rzy pr??bujÄ? pokonaÄ? zabezpieczenia danego produktu (przede wszystkim r????nych system??w operacyjnych i przeglÄ?darek). Zasady sÄ? proste: poka??esz dzia??ajÄ?cy exploit, zg??osisz bug report, dostajesz nagrodÄ? (zazwyczaj pieniÄ?dze + sprzÄ?t, kt??ry atakowa??e??).

 

Google nie spodoba??o siÄ? jednak to, ??e tw??rcy exploit??w nie muszÄ? w ramach pwn2own pokazywaÄ? kodu exploita ani opisywaÄ? techniki exploitacji, za pomocÄ? kt??rej znale??li dany b??Ä?d. Dlatego postanowi??o zrezygnowaÄ? ze sponsoringu pwn2own i otworzyÄ? konkurencyjnÄ? imprezÄ? o nazwie Pwnium â?? r??wnoleg??Ä? do pwn2own. Na nagrody przeznaczono milion dolar??w, ale haczyk jest taki, ??e znalazcy b??Ä?d??w bÄ?dÄ? musieli bardzo dok??adnie opisaÄ? to, jak odkryli danÄ? podatno??Ä? â?? od poczÄ?tku do ko??ca.

 

Jak dok??adny powininen byÄ? bug-raport?

 

Takie zasady nie wszystkim siÄ? podobajÄ?. Wielokrotny zwyciÄ?zca pwn2own Charlie Miller, twierdzi, ??e nigdy nie przekazywa?? exploit??w na pwn2own i nie zamierza tego robiÄ?. Wed??ug niego, tajne techniki exploitacji muszÄ? pozostaÄ? tajne. Zgadza siÄ? z nim Chaouki z VUPEN-a, firmy znanej z tworzenia exploit??w.

 

Google wystawiajÄ?c wysokie nagrody (do 60 000 USD za exploita) w swoim konkursie wykona??o sprytny ruch â?? kwota jest na tyle kuszÄ?ca, ??e tw??rcy exploit??w pewnie zastanowiÄ? siÄ?, czy chcÄ? przechodziÄ? przez â??trudyâ? sprzedawania exploita na czarnym rynku, czy wolÄ? go oddaÄ? producentowi i otrzymaÄ? â??bezproblemowÄ?â? zap??atÄ?.

 

 

??r??d??o niebezpiecznik.pl