Обычно в это время года компания Google объявляет условия и размер денежных призов для ежегодного конкурса Pwnium на взлом браузера Chrome/Chromium и операционной системы Chrome OS.

Конкурс традиционно проводился в рамках хакерской конференции CanSecWest в Ванкувере. Например, в прошло году компания выложила на стол e миллионов долларов. У участников был один день, чтобы показать свои эксплоиты.

С этого года всё будет иначе. Pwnium больше не ограничивается одним днём конференции, а идёт круглый год. Таким образом, общая сумма вознаграждений возрастает с e миллионов долларов до миллионов долларов, сказано в официальном блоге Google Online Security.

По мнению организаторов, это снижает барьер для участия. Раньше исследователю нужно было зарегистрироваться до марта, предоставить работающий эксплоит и физически появиться на конференции. Теперь он в любое время может отправить информацию в рамках программы выплаты вознаграждений за баги Chrome Vulnerability Reward Program (VRP).

Решение Google отменить однодневный конкурс вполне логично. Зачем стимулировать хакеров придерживать 0day-уязвимости и эксплоиты в течение года, чтобы дождаться конкурса и претендовать на большую награду? Ведь это ухудшает ситуацию с безопасностью платформы Chrome. По новым условиям, исследователей стимулируют сообщать о багах мгновенно, пока это не сделал кто-то другой и не получил заслуженную премию.

В такой ситуации Google корректирует условия программы Chrome VRP, чтобы авторы эксплоитов показывали цепочку багов в стиле Pwnium, а также увеличивает максимальный размер вознаграждения до $50 000. Условия участия см. в FAQ.

4 комментария

  1. 25.02.2015 at 16:01

    Объясните, что значит взломать браузер? Уже сколько раз гуглил, но ничего нормального не нашел

    • 25.02.2015 at 16:20

      Думаю, речь идет о пробиве для доставки полезной нагрузки

    • 25.02.2015 at 17:26

      «Взлом» браузера — возможность создать «некорректную» web-страницу, пытаясь отобразить которую браузер неожиданно споткнётся и сделает то, чего делать обычно не должен. В идеале это «тихий» запуск некой программы с сайта злоумышленника. Но годятся под понятие взлома и менее «крутые» варианты как создание файла на диске (естественно, тоже «тихое», без запроса пользователя), крах программы-браузера (желательно всех закладок, а не одной), отправка файла с диска на сервер (всё должно быть молча, без участия пользователя).
      Как только злоумышленники осваивают методику по созданию подобных сайтов, то рекламируют ссылки на них через банеры или другими способами. При попытке посмотреть страницу по этой «ссылке» (переходе по ссылке) браузер обычно «падает», а компьютер оказывается «заражён» (в случае идеального взлома) или, если «повезло», то сольёт важные финансовые документы, накопирует вирусов (но не запуская их) в разные папки (и рабочий стол, остается только «кликнуть» по ошибке на новый «ярлычок»), натворит что-то другое, но тоже очень «смешное».

  2. 28.02.2015 at 05:59

    открой в нем 50 вкладок одновременно и он упадет

Оставить мнение