The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Google выделила 3 млн долларов на выплату вознаграждений за взлом Chrome и Chrome OS

30.01.2013 11:27

Компания Google объявила об увеличении призового фонда соревнований по взлому браузера Chrome и операционной системы Chrome OS до 3.14159 млн долларов (сумма соответствует начальной последовательности цифр числа Пи). Параллельно с конкурсом Pwn2Own, который состоится 6-8 марта в рамках конференции CanSecWest в Ванкувере, компания Google дополнительно проведёт собственное мероприятие Pwnium 3. В Pwn2Own акцент будет сделан на взломе Chrome, а Pwnium 3 будет сфокусирован на Chrome OS.

За демонстрацию взлома браузера Chrome, запущенного в Windows 7, в рамках соревнования Pwn2Own предусмотрено вознаграждение 100 тыс. долларов. За взлом браузера из состава Chrome OS или эксплуатации уязвимости на уровне системы Chrome OS, при изначальной работе в гостевом режиме и активации эксплоита через Web, будет выплачено 110 тыс. долларов. Если атакующему удастся сохранить свои данные между перезагрузками в гостевом режиме после атаки через web, то размер премии будет увеличен до 150 тыс. долларов.

Атака должна быть продемонстрирована для базовой модели Samsung Series 5 550 Chromebook, на которой установлена самая свежая стабильная версия Chrome OS. В процессе атаки могут быть использованы любые компоненты платформы, в том числе ядро Linux и системные библиотеки. Кроме непосредственной демонстрации рабочего эксплоита требуется предоставить детальный отчёт о методах его работы и задействованных уязвимостях. На усмотрение компании Google, вознаграждение может быть выплачено и за частично работающие эксплоиты, демонстрирующие отдельные направления возможной атаки.

В прошлом году призовой фонд соревнования составил 1 млн долларов, а размер вознаграждения за каждый взлом - 60 тыс долларов. В итоге, на соревнованиях было продемонстрировано два успешных взлома самой свежей версии Chrome, не содержащей известных проблем безопасности. Осенью в рамках соревнования Pwnium также была продемонстрирована успешная техника атаки на Chrome.

  1. Главная ссылка к новости (http://blog.chromium.org/2013/...)
  2. OpenNews: На соревновании Pwn2own были продемонстрированы два успешных взлома браузера Google Chrome
  3. OpenNews: Новая инициатива по поиску уязвимостей в Google Chrome с бюджетом в 1 миллион долларов
  4. OpenNews: Озвучены имена победителей Pwnie Awards 2011
  5. OpenNews: Компания Google намерена выплатить 20 тыс. долларов за взлом браузера Chrome
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/35964-pwn2own
Ключевые слова: pwn2own, google
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Assembler (?), 12:22, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    3 лимона за тестирование и исправление профессионалами, гораздо дешевле, чем собственными силами
     
     
  • 2.2, Kookle (?), 12:42, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Новичек не знает как работать. Профессионал знает как не работать.
     
  • 2.3, rshadow (ok), 13:39, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно, поэтому у проприетарных ОСей нет будущего.
     
     
  • 3.42, Аноним (-), 14:12, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ковчег был опенсорс. Титаник проприетарщина.
     

  • 1.4, Аноним (-), 13:41, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видео с ломиком принимают?
     
     
  • 2.5, Аноним (-), 14:02, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ага. И в награду - 100 000 долларов нарисованных карандашом на туалетной бумаге. Какой эксплойт, такая и награда.
     
     
  • 3.13, Аноним (-), 17:04, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "липовые документы на это болото было сделать просто, а вот завязать 100 тысяч узелков…"© фильм Блеф 1976г
     
     
  • 4.17, тоже Аноним (ok), 18:45, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Большая часть бредовых комментариев в теме очень к месту - они показывают главную потенциальную уязвимость любого браузера и любой ОС.
     
  • 2.7, hakushka (ok), 14:15, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В оригинале говорится о уязвимостях и их использовании. "Взлом" не более чем отсебятина переводчика.
     

  • 1.8, ua9oas (ok), 14:43, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    много ли бывает таких хакеров, которым эксплуатировать уязвимости выгодней, чем за их выявление какие премии получать? (а может по тому и повысили размер премий, что такое может быть?)
    Если в этот раз никто ничего там не взломает, то значит ли это, что уязвимостей там совсем не осталось? (либо осталось крайне мало? А тогда насколько больше их (и еще чего) может быть в том браузере "Хромиум", который стоит у меня? (в нем написано, что он " 6.0.472.63 (59945) Built on Debian 6.0, running on Debian 6.0.6 "(и рядом ниже там еще есть цифры- "2006-2010" (а почему он там так давно не обновлялся?))
    А тогда сколько денег надо, чтобы и создавать и поддерживать этот браузер? Если его в этот раз никто не взломает, то тогда на что пойдут те премиальные деньги? (сможет ли это например сократить сроки выхода какого новаго его релиза?)

    Если те премиальные кому выплатят, то тогда как этот браузер будет потом эти затраты окупать? (когда-то ролик, что "установите Хром"- его много крутили на центральном по тв. Это тоже очень дорого. Сейчас я этой рекламы не вижу, но в сети ее полно).

     
     
     
    Часть нити удалена модератором

  • 3.11, Аноним (-), 16:28, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Считай деньги в своем кармане. Не надо заглядывать в чужие. Это неприлично.

    Вот не заглядываем уже лет 20, как завещал великий "Огонек" и прочие "Литературки", результат на лице. Может надо наоборот - как раньше у нас было и как на Западе все время - заглядывать, с преминением всех мыслимых средств да почаще?

     
     
     
    Часть нити удалена модератором

  • 5.19, тоже Аноним (ok), 18:53, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Надо не заглядывать, а поменьше тратить безлимитное личное время на форумах, а
    > побольше вкалывать, как на Западе все время - может, тогда денег
    > в собственных карманах прибавится, а революционных идеек поубавится?

    Работаю, получаю зарплату. Подрабатываю, получаю прибавку. Деньги в карманах водятся, не жалуюсь. Работать больше физически не получится - голова к вечеру не варит совершенно.
    С лояльностью все равно проблемы. Не подскажете, что делать?

     
     
  • 6.28, kurokaze (ok), 21:41, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > С лояльностью все равно проблемы. Не подскажете, что делать?

    Осваивай управление трактором


     
     
  • 7.31, тоже Аноним (ok), 22:13, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если цель - деградация, то можно просто начать пить. Но мне такая цель представляется малополезной.
     
     
  • 8.36, kurokaze (ok), 23:14, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ты так говоришь пить , будто это что то плохое человеку надо 2-3л в сутки... текст свёрнут, показать
     
  • 6.41, Michael Shigorin (ok), 03:06, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Не подскажете, что делать?

    Нашли кого спрашивать -- это же постоянно прыгающий с крыши ашана micro-рас, красноглазие которого никак не прострётся дальше доширака.  Такой бредогенератор на шелле занимает пару экранов от силы, с Элизой и то советоваться смысла больше.

     
  • 3.18, тоже Аноним (ok), 18:52, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ты не поверишь - в 2008м оборот в сфере киберпреступлений превысил оборот наркобизнеса и торговли оружием.

    И ни один нормальный человек не поверит. Это не факты, а пропаганда. Как бы оправдывающая усиление контроля над интернетом.
    В реальности же достоверной статистики по "обороту в сфере киберпреступлений" ни у кого нет, поэтому вместо этого оборота суммируют цифры убытков, нарисованные пострадавшими. То есть взятые с потолка и с запасом.


     
  • 2.16, Аноним (-), 18:45, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Хром там такой древний, потому, что стабильный выпуск. В-основном для критичных пакетов в нём выпускают и багфиксы и дырки закрывают, например - там есть firefox 3.5 с огромным уровнем наложенных патчей, заключающийся в закрытии дырок (бэкпортируют из официальных релизов), так что его сейчас использовать безопасно.

    К тому же имеется официальный репозиторий mozilla.debian.net с последними версиями Firefox.

    А вот на хром все дружно забили, видимо потому, что из него значительно сложнее бэкпортировать патчи, да и внутренних изменений в нём очень уж много. К тому же есть подозрение, что он в Stable мпло кому нужен.

    Если хотите последние версии браузеров и прочего софта - используйте Debian Testing, про репозиторий для FF в стейбле я уже упоминал. Ну а такой древний хром использовать совсем не рекомендуется.

     
     
  • 3.43, шестиклассник (?), 17:06, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Конкретно "хром" на дебиан можно поставить из репозитория гугла, а с хромиумом - да, всё так.
     
  • 2.25, Sinot (ok), 19:38, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Уж не знаю с чего начать.

    >много ли бывает таких хакеров <...>

    Много, но достаточно одного признавшегося и остальные идут лесом (касательно GoogleChrome).

    >Если в этот раз никто ничего там не взломает, то значит ли это, что уязвимостей там совсем не осталось?

    Конечно не значит. Уязвимости и спустя десять лет найти могут (не вспомню реальный пример, но была тут такая новость).

    >А тогда насколько больше их (и еще чего) может быть в том браузере "Хромиум", который стоит у меня? <...> (а почему он там так давно не обновлялся?))

    Все вопросы к дистрибутиву. Сборку в ручную никто не запрещал, а GoogleChrome (не Chromium) свои репы имеет для Демьяна, и регулярно их обновляет.

    >Что-то про деньги

    Google зарабатывает рекламой, много зарабатывает рекламой (фактически основная статья дохода). Чем больше возможности ее показать, тем выше доход. Конкретнее вам разве что сам Google скажет.

     
  • 2.27, kurokaze (ok), 21:40, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > много ли бывает таких хакеров, которым эксплуатировать уязвимости выгодней, чем за их
    > выявление какие премии получать? (а может по тому и повысили размер
    > премий, что такое может быть?)

    У ЗОГ-а, АМАН-а и ШАБАК-а все равно денег больше

     

  • 1.30, Аноним (-), 22:10, 30/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    гагага,
    теоретически чел который имеет мозг прокачаный до способности
    нагнуть гугловые поделия навярняка в деньгах нужды нестерпимой
    не имеет и так глупо палиться в общем тоже не особо пожелает..
    кто-то канешн не поймёт но это как объяснять реднекам почему
    перельман не лох, короче бесполезно какбе..
     
     
  • 2.32, тоже Аноним (ok), 22:16, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я нашел лишнее слово в этом наборе!
     
     
  • 3.33, pavlinux (ok), 22:47, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Я нашел лишнее слово в этом наборе!

    Это был Митрофаныч CAPSLOCKLESS Edition

     
  • 2.37, kurokaze (ok), 23:16, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > гагага,
    > теоретически чел который имеет мозг прокачаный до способности
    > нагнуть гугловые поделия навярняка в деньгах нужды нестерпимой
    > не имеет и так глупо палиться в общем тоже не особо пожелает..

    а можыдь "кровавый АМАН" мало платит? халтурка то и не помешает

    >  кто-то канешн не поймёт но это как объяснять реднекам почему
    >  перельман не лох, короче бесполезно какбе..

    реднекам пох на петрося^W перельмана

     

  • 1.39, Sergey (??), 00:06, 31/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Спасибо, Анон сегодня насмешил. Каменты были смешнее всего. И да, действительно маловатые премии за 0-day уязвимости, да еще и в хроме. Если дырка годная (прощаю вас за ваши грязные мысли), то можно такого малваря наставить просто прогнав купленный трафик через эксплойтный урл. А это малваре - это тебе и ботнетик и рекламку скликивать, и накрутки и псевдотрафик - который можно обратно продать. Короче детский сад. Надо давать мульёна 3 баксов минимум - входной порог, чтобы привлечь хотя бы внимание реальных уберкодеров.
     
     
  • 2.40, Sergey (??), 00:07, 31/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Имелось ввиду в одно лицо за один взлом, а не в качестве фонда.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру