Не прошло и пары дней после того, как компания Google объявила о повышении базового вознаграждения за уязвимости в Chromium и других программных продуктах с $500 до $1000 плюс дополнительные бонусы. И вот сейчас ещё одна новость, которая порадует корыстолюбивых хакеров: анонсирован второй конкурс Pwnium 2, где каждый может продемонстрировать рабочие эксплойты к браузеру и получить награду:
$60 000. Полный Chrome эксплойт: повышение привилегий в локальной ОС, используя только уязвимости в браузере.
$50 000. Частичный Chrome эксплойт: повышение привилегий в локальной ОС, используя хотя бы один баг в Chrome, плюс другие баги.
$40 000. Не-Chrome эксплойт: использование уязвимостей во Flash, Windows, драйверах и т.д.
Решение жюри. Неполные эксплойты, которые не удовлетворяют условиям конкурса, всё равно могут быть оплачены по решению жюри. Это делается для того, чтобы поощрить начинающих хакеров к дальнейшим исследованиям. Сумма вознаграждения будет установлена в справедливом размере.
Все эксплойты должны работать на последней стабильной версии Chrome, при этом для операционной системы и драйверов должны быть установлены все патчи. Тестовая система — ноутбук Acer Aspire V5-571-6869, который тоже достанется победителю как бонус.
Конкурс состоится 10 октября на конференции Hack In The Box в Куала-Лумпуре. Общий призовой фонд составляет два миллиона долларов, хотя повышение призового фонда с одного миллиона до двух похоже на пиар-акцию, ведь в прошлый раз удалось распределить всего 12% суммы гонораров.
Структура призовых выплат за разные типы эксплойтов $40-$50-$60 тыс. стала более справедливой, чем прежние $20-$40-$60 тыс., это сделано в соответствии с пожеланиями сообщества.
Прошлый Pwnium с призовым фондом в миллион долларов оказался весьма успешным. В марте 2012 года российский студент Сергей Глазунов и хакер PinkiePie продемонстрировали два выдающихся эксплойта, которые можно назвать произведениями искусства.
Впрочем, не все хакеры горят желанием демонстрировать свои способности на конкурсе Pwnium 2. Директор крупнейшего дилера эксплойтов Vupen уже заявил, что не раскроет имеющиеся у них уязвимости даже за два миллиона долларов. Эти эксплойты эксклюзивно получают клиенты фирмы: спецслужбы, разведка и правоохранительные органы демократических стран.
