Google looft 1 miljoen dollar uit voor Chrome-exploits
Google wil hackers belonen voor het vinden van exploits in Chrome met prijzen tussen 20.000 en 60.000 dollar, afhangende van de zwaarheid van de exploit. Google zou dit normaal in de pwn2own-contest doen, maar ziet daar dit jaar van af.
De prijzen die Google wil uitloven zijn twintigduizend dollar voor een bug in Flash, Windows 7 of beveiligingsgaten die niet in Chrome zelf zitten maar wel een veiligheidsrisico vormt in Chrome. Een exploit die deels in Chrome zit, zoals een bug in WebKit in combinatie met de Windows 7 sandbox is goed voor veertigduizend dollar. Het grootste bedrag, zestigduizend dollar, gaat naar exploits waarvan de oorsprong enkel en alleen in Chrome zelf ligt. Winnaars krijgen hoe dan ook een Chromebook. Alle exploits moeten in Chrome met een lokale user op Windows 7 gevonden worden. De totale prijzenpot bedraagt 1 miljoen dollar.
Google doet normaal altijd mee aan de pwn2own-wedstrijd op de jaarlijkse CanSecWest-beveiligingsconferentie, maar het bedrijf ziet daar dit jaar van af. In plaats daarvan is het 'Chromium Security Rewards'-programma gestart. Reden voor het niet deelnemen is een kleine aanpassing aan het wedstrijdsreglement: dat zegt nu dat deelnemende hackers de details van uitgevoerde exploits mogen vrijgeven, terwijl zij dat vorig jaar nog moesten vrijgeven. Google wil de details weten om zelf de bugs te kunnen dichten.
Google staat bekend om zijn programma's waarbij hackers beloond worden voor ontdekte bugs of exploits bij Google. Onlangs stelde het bedrijf nog 310.000 euro beloning in het vooruitzicht voor het vinden van beveiligingsrisico's op de website van Google. De Mozilla Foundation gebruikt ook beloningen voor het aanmelden van bugs in zijn Firefox-browser.
Reacties (34)
Zo hebben de hackers iets nuttigs te doen, worden google producten veiliger en stroomt er geld van googles bankrekening naar mensen die het waarschijnlijk uit gaan geven = goed voor de economie.
En google krijgt een goede naam, zowel op het gebied van de behandeling van mensen als qua beveiliging.
[Reactie gewijzigd door klonic op dinsdag 28 februari 2012 23:58]
Dat kan, maar hoeft niet. Als je denkt op de lange termijn meer dan het geoffreerde bedrag te kunnen verdienen door ofwel de bug zelf te exploiteren, ofwel een partij te vinden die er nog meer voor over heeft, dan niet.Als je een lek vind ga je natuurlijk voor die $20.000 tot $60.000 in plaats van dat je er misbruik van maakt.
En ja, er kunnen grote bedragen gemoeid zijn bij zulke exploits. Als alle Chrome-gebruikers in combinatie met Grote Bank Website kwetsbaar zijn, bijvoorbeeld, kan dit criminele elementen heel goed meer dan 60.000 piek waard zijn.
Natuurlijk is 60.000 legaal en met zekerheid verdiend aantrekkelijker dan 60.000 illegaal en onzeker verdiend, dus dat werkt weer in het voordeel.
Dit komt doordat bijna alle echte goede hackers geld willen verdienen met wat ze doen en als White-Hat hacker is dat een heel stuk moeilijker als Black-Hat hacker. Nu wordt het dus ook makkelijk geld verdienen als White-Hat hacker.
Ontopic:
Het lijkt mij enkel logisch dat google die stap gemaakt heeft naar een eigen programma, waarom zou je hackers subsidieren als je er zelf, en je produkt er niets mee opschiet als de ontdekker van die exploit dat niet wil? Iedereen is gebaat bij een veiliger systeem.
Overigens zijn de bedragen niet misselijk, nu maar hopen dat de exploits aangegeven worden bij Google voordat ze misbruikt worden.
Het enige dat ik niet begrijp is waarom de pot 1 miljoen dollar bedraagt. Is dat omdat men denkt dat er toch niet zoveel exxploits gevonden gaan worden en die 1 miljoen voldoende is?
tenzij je broertje je pc gebruikt om pr0n te kijkenIk krijg juist alleen nog maar viagra en extend pillen spam.
Ontopic:
Het lijkt mij enkel logisch dat google die stap gemaakt heeft naar een eigen programma, waarom zou je hackers subsidieren als je er zelf, en je produkt er niets mee opschiet als de ontdekker van die exploit dat niet wil? Iedereen is gebaat bij een veiliger systeem.
Overigens zijn de bedragen niet misselijk, nu maar hopen dat de exploits aangegeven worden bij Google voordat ze misbruikt worden.
Het enige dat ik niet begrijp is waarom de pot 1 miljoen dollar bedraagt. Is dat omdat men denkt dat er toch niet zoveel exxploits gevonden gaan worden en die 1 miljoen voldoende is?
Nogmaals Google "sorteert" de reclame niet voor jou jij bent maar het vee. Google toont de moederbord reclame in de eerste plaats omdat een click daarop geld in het laatje van Google brengt. Google is als een boer die het juiste voer aan het juiste stuk vee geeft, een boer geeft ook geen kippenvoer aan zijn koeien.
Google toont niet waar jij in geinterresseerd bent, Google toont het geen waar ze het meeste succes mee hebben. Als uit statistieken blijkt dat mensen die op moederborden zoeken vaak potentie problemen hebben dan zal Google jou Viagra reclame tonen ... ook al heb jij daar nog nooit op gezocht.
[Reactie gewijzigd door HerrPino op woensdag 29 februari 2012 10:13]
Een exploit verkopen kan op de zwarte markt echter ook wel heel wat opleveren. Google moet dus niet vergeten dat er organisaties zijn die veel meer dan 60.000 willen betalen voor een exploit. Maar dan heb je het natuurlijk over black hat hacking.
Overigens zijn dit soort wedstrijden ook voor de deelnemers lucratief want ze krijgen naams bekendheid en mogelijk een goed betaalde baan aangezien goed personeel schaars is..
http://www.youtube.com/watch?v=u6XAPnuFjJc
Met een geldbedrag stimuleert Google mensen om;
1: de exploits te gaan zoeken. Zonder zouden ze er misschien niet eens aan beginnen.
2; Een stimulans om de explooits aan google door te geven ipv helemaal niet of die exploits te gaan misbruiken.
En dus niet om hun eigen werknemers te stimuleren, dat doen ze op andere manierenn die ook in dat filmpje aan bod komen, maar om hun eigen werknemers werk uit handen te nemen en door anderen te laten doen. Reken maar dat ineens een hoop mensen naar exploits gaan zoeken, allemaal op "no exploit, no pay" basis, en dus lekker goedkoop ook.
3. Nu weten mensen ook waar ze het kunnen melden als ze iets vinden; Ik heb vaker gehad dat ik niet kon doordringen tot de gene in een organisatie die het kon fixen. Het is dus belangrijk dat organisaties toegankelijk worden voor meldingen. Tot die tijd helpen beloningen om zo'n pad in de organisatie op te zetten.Met een geldbedrag stimuleert Google mensen om;
1: de exploits te gaan zoeken. Zonder zouden ze er misschien niet eens aan beginnen.
2; Een stimulans om de explooits aan google door te geven ipv helemaal niet of die exploits te gaan misbruiken.
Facebook geeft zijn werknemers al een dag per maand de ruimte krijgen om hun ideeën uit te werken, welke al duidelijk hun vruchten hebben afgeworpen.
Het nodigd in iedergeval wel uit tot "meedenken" 
Waar blijft die poen?
The Ultimate Google Exploit Tool
bron: http://www.sizzledcore.co...mate-google-exploit-tool/
[Reactie gewijzigd door defixje op dinsdag 28 februari 2012 19:44]
Waar die bugs dus ook in zittenWinnaars krijgen hoe dan ook een Chromebook.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
