Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties, 36.939 views •
Submitter: player-x

Tijdens de vijfde Pwn2Own looft Google 20.000 dollar uit aan de deelnemer die Chrome op dag één hackt. Op het evenement van TippingPoint krijgen hackers de kans om browsers of mobiele telefoons binnen een bepaalde tijd te hacken.

Chrome krijgt twee wedstrijden. Op de eerste dag zijn 20.000 dollar en de eigen CR-48-laptop van Google binnen te slepen. Een deelnemer mag op die dag alleen zwakheden in Googles eigen code misbruiken. Als er die dag geen succesvolle deelnemers zijn, looft TippingPoint op dag twee of drie 10.000 dollar uit voor een sandbox escape in non-Google code. Google doet daar op die dagen 10.000 dollar bij. Plug-ins buiten de ingebouwde pdf-ondersteuning van Chrome zijn uit den boze.

Googles actie is onderdeel van de browsercompetitie. Bij de browsers zijn dit jaar ook Internet Explorer, Safari en Firefox onder de slachtoffers. Iedere browser wordt geïnstalleerd op een 64bit-versie van OS X of Windows 7. Een succesvolle hack levert een deelnemer in ieder geval 15.000 dollar op, de laptop waarop hij zijn poging deed en 20.000 ZDI-punten. Deze punten horen bij het Zero Day Initiative, een onderdeel van TippingPoint. Iedere deelnemer krijgt dertig minuten toegewezen.

Mobiele-telefoonhacks vinden plaats op een base station. Hierdoor kunnen deelnemers de base bands van de telefoon aanvallen. De Dell Venue Pro met Windows Phone 7, de iPhone 4, de BlackBerry Torch 9800 met BlackBerry 6 en de Nexus S met Android zijn hier de slachtoffers. De deelnemer moet een aanval bedenken die weinig interactie van de gebruiker vereist en er moet bruikbare informatie op de telefoon worden gecomprimeerd. Een succesvolle poging levert de hacker 15.000 dollar op, het apparaat zelf en wederom 20.000 ZDI-punten.

Vorig jaar wist Nederlander Peter Vreugdenhil enkele kwetsbaarheden in IE8 te benutten door de beveiliging van Windows 7 te omzeilen. Dit jaar is hij jurylid bij deze competitie. Pwn2Own vindt plaats op 9, 10 en 11 maart te Vancouver, tijdens de CanSecWest-conferentie.

Reacties (39)

Begrijp ik nu goed dat Google op dag twee of drie 10.000 dollar uitlooft en TippingPoint ook? En voor wat voor soort bug is dat? Ik neem aan niet iedere bug, anders hoeft je maar het lijstje met bugreports door te nemen …
Nee, dat geldt niet voor iedere bug:
To walk off with Google's $20,000 on Pwn2Own's first day, a researcher must find and exploit two vulnerabilities in Google's code. Only on the second and third days of the contest can researchers employ a non-Chrome bug, say one in Windows, to break out of the sandbox. A successful attack on the second and third days will still put $20,000 in the researcher's pocket, but only $10,000 of that will come from Google; TippingPoint will pony up the other $10,000.
http://www.computerworld....t_be_hacked?taxonomyId=15
Dankje! Als dit in het artikel gestaan had, was het een stuk duidelijker geweest.
Waarschijnlijk bugs die het "moedersysteem" schade kunnen toe laten brengen, zoals dingen uitvoeren via die bugs. Een blokkerende toolbar zal waarschijnlijk niet van vitaal beveiligingsbelang zijn ;)
Android en iPhone zijn toch allang gehacked ? of lees iets verkeerd ?
Je leest dus iets verkeerd.
Het gaat hier om de browsers, niet om het OS.
Probleem is alleen dat er minstens twee bekende informatie lekken zitten in de browser van Android 2.3.
Maar misschien mag je bekende lekken niet gebruiken
gaat niet om het OS.


Bij de browsers zijn dit jaar ook Internet Explorer, Safari en Firefox onder de slachtoffers. Iedere browser wordt geïnstalleerd op een 64bit-versie van OS X of Windows 7.

[Reactie gewijzigd door prikkeprakker op 3 februari 2011 17:14]

Zo zie je maar weer, de eerste keer hack je en ontvang je geld, het jaar daarna werk je als jurylid. Dus een eventuele baan is daar ook gelijk aan gebonden.
En wat zijn ZDI punten dan?
In de tekst:
ZDI-punten. Deze punten horen bij het Zero Day Initiative, een onderdeel van TippingPoin
En dan weet je dus nog niks...
Maar goed, hier wat je er mee kan/voor krijgt.

http://www.zerodayinitiative.com/about/benefits/
Ik denk dat de andere poster net zoals ik geen flauw idee heeft wat dat inhoudt :P
ik ben benieuwd of ze chrome kunnen hacken, aangezien het ze de vorige keer niet is gelukt!
ja, maar welke versie van chrome was dat dan?

ik denk dat je, zeker op de developers versie van chrome, toch zeker wel een aantal bugs kan benutten
Hacken is dus iets anders dan bugs, wat je ten minste uit de tekst kan halen als je het even kwijt was ;)

Tijdens de vijfde Pwn2Own looft Google 20.000 dollar uit aan de deelnemer die Chrome op dag één hackt

Als er die dag geen succesvolle deelnemers zijn, looft Google op dag twee of drie 10.000 dollar uit voor voor een bug in Chrome
Ik vind dit echt een fantastisch initiatief. Bedrijven die vragen aan de beste hacker ter wereld om hun spullen te hacken. Dingen die je eigen programmeurs, toch ook niet de domste op dit gebied, over het hoofd zien.

Elke programmeur heeft een bepaalde stijl van programmeren. Het schijnt dat je aan de code soms kunt zien wie het gemaakt heeft. En iedereen heeft een bepaalde invalshoek waarop hij code benaderd. Je kunt nog zo veel testen en zoeken in je eigen code om iets safe te maken. Er is altijd wel iets wat je niet ziet. En een betere testcase kun je volgens mij niet krijgen...
Dingen die je eigen programmeurs, toch ook niet de domste op dit gebied, over het hoofd zien.
Of juist niet :) Chrome was vorig jaar volgens mij NIET gehacked, dus de ontwikkelaars verdiende zeker een schouderklopje en nog leuker die 20.000 verdelen ofso (hoewel zal wel paar 100 man aan werken oid?)...
Dat paar 100 man kon nog weleens tegenvallen. Zelfs het MSIE-team is niet zo groot, zag ik een tijdje geleden in eoa video over IE9. En gezien Google niet z'n eigen layout-engine maakt, heb je wat dat betreft alleen implementors, en geen bouwers van de engine. Ik denk dat ze het af kunnen met 20 man.
De WebKit layout-engine is dan niet van Google zelf, Google heeft toch zeker wel een flink aantal mensen werken aan de WebKit engine. Daarnaast komt er nog meer bij kijken dan alleen wat WebKit te bieden heeft, denk bijvoorbeeld aan de V8 JavaScript engine die Google zelf maakt.
Op mijn opleiding kreeg ik bij de eerste lessen in Java al te horen dat de gemiddelde (ervaren) programmeur één fout per 500 regels code maakt. Als je er dan van uitgaat dat OS'en als Chrome uit vele duizenden, zo niet enkele miljoenen regels bestaat, zijn er aardig wat exploits die potentieel gevaarlijk kunnen zijn.

Ik ben het daarom roerend met je eens dat het vinden van een kwaadaardige bug voor de release een goede zaak is. Slotenmakers kunnen hun werk ten slechte en ten goede gebruiken, maar hackers kunnen dat natuurlijk ook :)
Maar met die kennis kan je ook op je vingers natellen dat er nog wordt gechecked, dus ja in eerste instantie kan een programmeur zeker veel fouten maken maar het merendeel zal niet in een uitgebrechte versie komen, dat kleine beetje wat over is komt hopelijk naar voren in deze wedstrijd ;) (wil niet zeggen dat als ze niks vinden er ook geen lekken zijn natuurlijk)
Hacken wordt zo echt een spelletje/sport... wel grappig :) Leuke manier
Verstandige manier om zo de mate van je eigen security onder de loep te nemen / te testen.

Als ze dit nou eens hadden gedaan met de OV chipkaart, konden ze er gauw genoeg achter komen dat het niks was :P
Als ze dit nou eens hadden gedaan met de OV chipkaart, konden ze er gauw genoeg achter komen dat het niks was :P
Dat wisten ze ook al, niet door eigen test maar testen van andere, het internet :) Dus nee denk niet dat dat ze ineens wel had overgehaald, ze hebben nu ook bewust een lekke chip gebruikt...

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True