Компания Google объявила условия хакерского конкурса Pwnium 3. Он состоится одновременно с конкурсом Pwn2Own 2013 в Ванкувере 7 марта, прямо на той же конференции CanSecWest. Чтобы не составлять конкуренцию параллельному конкурсу, для участия в Pwnium 3 не берут эксплойты для браузера Chrome, а принимаются только эксплойты для операционной системы Chrome OS.
На Pwn2Own 2013 призовой фонд за взломы браузеров суммарно составляет всего лишь 560 тысяч долларов. За эксплойт для браузера Chrome или IE10 дают максимальную награду 100 тысяч долларов.
На конкурсе от Google размер призового фонда в этом году увеличен примерно на миллион долларов. Теперь он составляет π миллионов долларов, то есть $3,14159 млн (3 млн 141 тыс. 590). Впрочем, общий размер призового фонда мало о чём говорит. Например, в прошлом году только малая часть из этого призового фонда нашла своих обладателей. Гораздо важнее, какую конкретно сумму компания Google будет платить за эксплойты. Об этом рассказано в официальном блоге Chromium.
За эксплойты Chrome OS предназначено два вида вознаграждений:
- $110 000: эксплойт браузера или системы из гостевого режима или после авторизации пользователя, через веб-страницу
- $150 000: эксплойт, устойчивый к перезагрузке, через веб-страницу
Атаку требуется продемонстрировать на хромбуке Samsung Series 5 550, для тестирования имеется руководство по запуску Chrome OS в виртуальной машине. Запрещено использовать известные баги, в том числе только что попавшие в баг-трекер.
Можно практически со стопроцентной уверенностью сказать, что даже половину призового фонда Google не сможет распределить, очень уж жёсткие условия конкурса. Так что цифра в π миллионов долларов оглашена, скорее, для красоты.
В прошлом году на конкурсе Pwnium 2 за взломы браузера Chrome и системы Chrome OS платили от $40 тыс. до $60 тыс., в тот раз получить максимальную награду смогли только PinkiePie и известный российский хакер Сергей Глазунов. Описания их эксплойтов см. здесь и здесь.