Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties, 36.966 views •
Submitter: player-x

Tijdens de vijfde Pwn2Own looft Google 20.000 dollar uit aan de deelnemer die Chrome op dag één hackt. Op het evenement van TippingPoint krijgen hackers de kans om browsers of mobiele telefoons binnen een bepaalde tijd te hacken.

Chrome krijgt twee wedstrijden. Op de eerste dag zijn 20.000 dollar en de eigen CR-48-laptop van Google binnen te slepen. Een deelnemer mag op die dag alleen zwakheden in Googles eigen code misbruiken. Als er die dag geen succesvolle deelnemers zijn, looft TippingPoint op dag twee of drie 10.000 dollar uit voor een sandbox escape in non-Google code. Google doet daar op die dagen 10.000 dollar bij. Plug-ins buiten de ingebouwde pdf-ondersteuning van Chrome zijn uit den boze.

Googles actie is onderdeel van de browsercompetitie. Bij de browsers zijn dit jaar ook Internet Explorer, Safari en Firefox onder de slachtoffers. Iedere browser wordt geïnstalleerd op een 64bit-versie van OS X of Windows 7. Een succesvolle hack levert een deelnemer in ieder geval 15.000 dollar op, de laptop waarop hij zijn poging deed en 20.000 ZDI-punten. Deze punten horen bij het Zero Day Initiative, een onderdeel van TippingPoint. Iedere deelnemer krijgt dertig minuten toegewezen.

Mobiele-telefoonhacks vinden plaats op een base station. Hierdoor kunnen deelnemers de base bands van de telefoon aanvallen. De Dell Venue Pro met Windows Phone 7, de iPhone 4, de BlackBerry Torch 9800 met BlackBerry 6 en de Nexus S met Android zijn hier de slachtoffers. De deelnemer moet een aanval bedenken die weinig interactie van de gebruiker vereist en er moet bruikbare informatie op de telefoon worden gecomprimeerd. Een succesvolle poging levert de hacker 15.000 dollar op, het apparaat zelf en wederom 20.000 ZDI-punten.

Vorig jaar wist Nederlander Peter Vreugdenhil enkele kwetsbaarheden in IE8 te benutten door de beveiliging van Windows 7 te omzeilen. Dit jaar is hij jurylid bij deze competitie. Pwn2Own vindt plaats op 9, 10 en 11 maart te Vancouver, tijdens de CanSecWest-conferentie.

Reacties (39)

Reactiefilter:-139039+123+21+30
Moderatie-faq Wijzig weergave
En wat zijn ZDI punten dan?
In de tekst:
ZDI-punten. Deze punten horen bij het Zero Day Initiative, een onderdeel van TippingPoin
En dan weet je dus nog niks...
Maar goed, hier wat je er mee kan/voor krijgt.

http://www.zerodayinitiative.com/about/benefits/
Begrijp ik nu goed dat Google op dag twee of drie 10.000 dollar uitlooft en TippingPoint ook? En voor wat voor soort bug is dat? Ik neem aan niet iedere bug, anders hoeft je maar het lijstje met bugreports door te nemen …
Nee, dat geldt niet voor iedere bug:
To walk off with Google's $20,000 on Pwn2Own's first day, a researcher must find and exploit two vulnerabilities in Google's code. Only on the second and third days of the contest can researchers employ a non-Chrome bug, say one in Windows, to break out of the sandbox. A successful attack on the second and third days will still put $20,000 in the researcher's pocket, but only $10,000 of that will come from Google; TippingPoint will pony up the other $10,000.
http://www.computerworld....t_be_hacked?taxonomyId=15
Dankje! Als dit in het artikel gestaan had, was het een stuk duidelijker geweest.
Waarschijnlijk bugs die het "moedersysteem" schade kunnen toe laten brengen, zoals dingen uitvoeren via die bugs. Een blokkerende toolbar zal waarschijnlijk niet van vitaal beveiligingsbelang zijn ;)
Ik vind dit echt een fantastisch initiatief. Bedrijven die vragen aan de beste hacker ter wereld om hun spullen te hacken. Dingen die je eigen programmeurs, toch ook niet de domste op dit gebied, over het hoofd zien.

Elke programmeur heeft een bepaalde stijl van programmeren. Het schijnt dat je aan de code soms kunt zien wie het gemaakt heeft. En iedereen heeft een bepaalde invalshoek waarop hij code benaderd. Je kunt nog zo veel testen en zoeken in je eigen code om iets safe te maken. Er is altijd wel iets wat je niet ziet. En een betere testcase kun je volgens mij niet krijgen...
Dingen die je eigen programmeurs, toch ook niet de domste op dit gebied, over het hoofd zien.
Of juist niet :) Chrome was vorig jaar volgens mij NIET gehacked, dus de ontwikkelaars verdiende zeker een schouderklopje en nog leuker die 20.000 verdelen ofso (hoewel zal wel paar 100 man aan werken oid?)...
Dat paar 100 man kon nog weleens tegenvallen. Zelfs het MSIE-team is niet zo groot, zag ik een tijdje geleden in eoa video over IE9. En gezien Google niet z'n eigen layout-engine maakt, heb je wat dat betreft alleen implementors, en geen bouwers van de engine. Ik denk dat ze het af kunnen met 20 man.
De WebKit layout-engine is dan niet van Google zelf, Google heeft toch zeker wel een flink aantal mensen werken aan de WebKit engine. Daarnaast komt er nog meer bij kijken dan alleen wat WebKit te bieden heeft, denk bijvoorbeeld aan de V8 JavaScript engine die Google zelf maakt.
Op mijn opleiding kreeg ik bij de eerste lessen in Java al te horen dat de gemiddelde (ervaren) programmeur één fout per 500 regels code maakt. Als je er dan van uitgaat dat OS'en als Chrome uit vele duizenden, zo niet enkele miljoenen regels bestaat, zijn er aardig wat exploits die potentieel gevaarlijk kunnen zijn.

Ik ben het daarom roerend met je eens dat het vinden van een kwaadaardige bug voor de release een goede zaak is. Slotenmakers kunnen hun werk ten slechte en ten goede gebruiken, maar hackers kunnen dat natuurlijk ook :)
Maar met die kennis kan je ook op je vingers natellen dat er nog wordt gechecked, dus ja in eerste instantie kan een programmeur zeker veel fouten maken maar het merendeel zal niet in een uitgebrechte versie komen, dat kleine beetje wat over is komt hopelijk naar voren in deze wedstrijd ;) (wil niet zeggen dat als ze niks vinden er ook geen lekken zijn natuurlijk)
Dit soort initiatieven is op zoveel vlakken ontzettend slim dat het veel wijder verbreid zou moeten zijn:

1. Het is de ultieme stress test voor je code.

2. Het is ontzettend goedkoop (20.000 dollar is echt peanuts voor bug/exploit searches, helemaal als je potentiële kosten door bugs en exploits meerekent).

3. Hacken wordt weer steeds meer in het juiste daglicht gezien: het optimaliseren en het verbeteren van o.a. software door je nieuwsgierigheid te botvieren - dit in tegenstelling tot cracken.

4. Hackers krijgen een zakcentje waardoor ze gestimuleerd worden zo hard mogelijk op zoek te gaan naar bugs en exploits.

5. Het kan een aanzuigende werking hebben op een nieuwe generatie "wizz kids", programmeurs en de technologische helden van de toekomst.

6. Het maakt hacken tot een soort competitie/sport waardoor de kwaliteit en ontwikkeling rap kan groeien - alleen maar goed voor technologische vooruitgang.

Dit zijn slechts een paar punten die mij te binnen schieten.
ik ben het hier deels mee eens (niet helemaal dus)

Je moet weten dat 20.000 in security land niet zo heel veel is. Bijvoorbeeld virusmakers/mafia/evil masterminds weten ook dat er bugs zitten in software.

Dus stel dat ik een fout in chrome vind... dan is het nu leuk dat ik 20.000 dollar daarvoor krijg, maaaaaar... ik kan gemakkelijk meer krijgen (afhankelijk van de mogelijkheden van de bug) op "andere kanalen".

Dus ja... het is een goed initiatief, maar je moet niet meteen denken dat de "beste hackers" hier op gaan vliegen.

Trouwens, de "beste hackers" verdienen dit soort geld snel genoeg om niet te moeten "gokken" op dit soort "events"
Je vergeet wel een aantal heel belangrijke factoren wanneer je wint. Je naam is meteen bevestigd en bekend. De lucratieve contracten komen later wel. En de eer speelt natuurlijk ook mee.
Ieder voordeel heeft zijn nadeel:

Mensen raken geiinteresseerd in hacken; gaan zich er in verdiepen en als ze dan op een gegeven moment een lek vinden is het de vraag wat ze er dan mee doen.

Hoop niet dat ze dit soort "wedstrijdjes" ook voor virussen gaan organiseren.
gaat niet om het OS.


Bij de browsers zijn dit jaar ook Internet Explorer, Safari en Firefox onder de slachtoffers. Iedere browser wordt geïnstalleerd op een 64bit-versie van OS X of Windows 7.

[Reactie gewijzigd door prikkeprakker op 3 februari 2011 17:14]

Zo zie je maar weer, de eerste keer hack je en ontvang je geld, het jaar daarna werk je als jurylid. Dus een eventuele baan is daar ook gelijk aan gebonden.
Verstandige manier om zo de mate van je eigen security onder de loep te nemen / te testen.

Als ze dit nou eens hadden gedaan met de OV chipkaart, konden ze er gauw genoeg achter komen dat het niks was :P
Als ze dit nou eens hadden gedaan met de OV chipkaart, konden ze er gauw genoeg achter komen dat het niks was :P
Dat wisten ze ook al, niet door eigen test maar testen van andere, het internet :) Dus nee denk niet dat dat ze ineens wel had overgehaald, ze hebben nu ook bewust een lekke chip gebruikt...
Toch zie ik het nut van het "hacken" niet als je het aan zoveel regels bindt. Zijn dat dan al bekende zwakheden vraag ik mij dan af... ;)
Ik denk niet dat de data zoals in het artikel staat 'gecomprimeerd' hoeft te worden, iets zegt mij dat hier gecompromitteerd wordt bedoeld....
dat dacht ik ook al, slordige fout
Android en iPhone zijn toch allang gehacked ? of lees iets verkeerd ?
Je leest dus iets verkeerd.
Het gaat hier om de browsers, niet om het OS.
Probleem is alleen dat er minstens twee bekende informatie lekken zitten in de browser van Android 2.3.
Maar misschien mag je bekende lekken niet gebruiken

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True