Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 67, views: 58.223 •

Ondanks de prijzenpot van 3,14159 miljoen dollar, wisten deelnemers van de Pwnium 3-wedstrijd geen nieuwe exploits in Chrome OS te vinden. Bij de gelijktijdig gehouden Pwn2own-competitie werden Firefox, Chrome, Internet Explorer 10, Java en Adobe Flash en Adobe Reader gekraakt.

Doel van de Pwnium-wedstrijd was om exploits te vinden in een volledig gepatchte Chromebook, een Series 5 550 van Samsung. Geslaagde aanvallen met blijvend effect, dus ook na een reboot, kwamen in aanmerking voor een bedrag van 150.000 dollar, overige exploits konden 110.000 in de wacht slepen, met een totale prijzenpot van 3,14159 miljoen dollar. Google begon de Pwnium-wedstrijd vorig jaar omdat het bedrijf het destijds niet eens was met de reglementen van de gelijktijdig gehouden Pwn2own-strijd, die niet vereisten dat de deelnemers details van hun exploit openbaarden. Die regels zijn echter gewijzigd zodat Google weer sponsor was van Pwn2own, maar toch een Pwnium-onderdeel op het Canadese CanSecWest-evenement hield met Chrome OS als exclusief doelwit.

"We hebben geen winnende inzendingen gehad maar we bekijken nog wat werk dat misschien deels als exploit gekwalificeerd kan worden", schrijft Google. Niet bekend is hoeveel deelnemers er meededen aan de competitie. Overigens dichtte Google maandag, voor de start van de wedstrijd, nog snel tien kwetsbaarheden, waarvan de impact bij zes als 'hoog' werd gekwalificeerd en waarbij bedragen van duizend dollar per exploit werden uitgekeerd.

Woensdag en donderdag vond eveneens tijdens CanSecWest de bekende Pwn2own-competitie plaats waarbij kwetsbaarheden in Firefox, Chrome, Internet Explorer, Java en Adobe Flash en Adobe Reader werden gevonden. In vier van de gevallen was het controversiële Franse Vupen Security verantwoordelijk voor de exploit; Vupen houdt details over exploits vaak onder de pet om ze te kunnen verkopen. Het bedrijf wist 180.000 dollar in de wacht te slepen met het kraken van Firefox en Internet Explorer 10, en 70.000 dollar met een exploit voor Flash. Volgens Vupen wordt het steeds lastiger Flash te kraken omdat Adobe goed werk zou verrichten met de beveiliging. Mozilla zorgde bijzonder snel voor een fix voor zijn programma's en ook Google was rap met een update voor de Chrome-browser.

Een opvallende deelnemer aan Pwn2own was George Hotz, die al op jonge leeftijd de iPhone en de Playstation 3 kraakte en daarna tijdelijk in dienst trad van Facebook. Hotz won 70.000 met zijn kraak van Adobe Reader, waarbij hij de sandbox van dat programma wist te omzeilen. Apples Safari stond ook op de lijst van te kraken software, maar die browser werd om onbekende redenen niet onder vuur genomen door de deelnemers.

Reacties (67)

Safari wordt waarschijnlijk niet onder vuur genomen omdat het ze toch wel lukt ( dit baseer ik dan op voorgaande Pwnr2Own evenementen ) en ik niet helemaal zeker weet of apple hier wel geld voor over heeft?

Vind jammer dat het niet bekend is hoeveel mensen aan Pwnium hebben mee gedaan, toch wel relevant want de veiligheid van de browser kan je niet alleen beoordelen op of ze het konden kraken tijdens Pwnium of niet..
Het is wel duidelijk hoe jij over Apple denkt met zo'n post. Maar als we even logisch redeneren.. als het tóch wel lukt om Safari te kraken dan zouden teams zich zeker inschrijven, het prijzengeld is niet mis namelijk. En Apple betaalt dat prijzengeld natuurlijk niet dus die opmerking raakt ook kant noch wal. Het prijzengeld is overigens te vinden op http://pwn2own.zerodayinitiative.com/rules.html, Google betaalt nog wel een bonus voor Google-related bugs maar verder wordt ook voor Safari gewoon uitgekeerd hoor.

Wat dan wel de reden is dat niemand een poging heeft gedaan voor Safari, tja dat blijft gissen.
Dat hij zo denkt is terecht toch?
Dit alles is door Google georganiseerd, het lijkt mij sterk dat Google wilt helpen aan de exploits van Safari (Apple). Dat ze zeggen er toch geld voor te geven vind ik al veel te netjes..
In het nieuwsbericht gaat het over Pwnium dat speciaal gericht is op het 'pwnen' van Chromium en dat inderdaad door Google is georganiseerd, maar daarnaast wordt Pwn2own genoemd waar het stukje over Safari over ging. Pwn2own wordt niet georganiseerd door Google maar wordt gehouden tijdens CanSecWest, ook al sponsort Google het wel (weer).
Safari heeft zo ver ik weet geen groot aandeel op de mark (7% of zo?) en het zou me niet verbazen dat bijna niemand die op het evement aanwezig was genoeg kennis van safari had om een geslaagde kraak te zetten.
Safari heeft zo ver ik weet geen groot aandeel op de mark (7% of zo?) en het zou me niet verbazen dat bijna niemand die op het evement aanwezig was genoeg kennis van safari had om een geslaagde kraak te zetten.
Waar is Opera?
In de bittenbak?
Zijn niet veel gebruikers meer en aandeel daalt v.z.i.w.
Ik kan me zo voorstellen dat je een browser aanvalt waarvan je al een hoop weet, qua interne werking, security etc. Bijvoorbeeld omdat je daar al eerder een exploit in hebt gevonden, of omdat je bezig bent met een bepaalde exploit. Je begint zo'n dag niet vanaf scratch.

Je steekt als hacker geen tijd in een browser of os met een klein marktaandeel. Als Safari inderdaad een marktaandeel heeft van 7% zoals hieronder wordt beweerd, zou dat de reden kunnen zijn dat niemand zich hier op heeft gericht.
Vind jammer dat het niet bekend is hoeveel mensen aan Pwnium hebben mee gedaan, toch wel relevant want de veiligheid van de browser kan je niet alleen beoordelen op of ze het konden kraken tijdens Pwnium of niet..
Hoewel ik het wel interessant vind om te weten hoeveel mensen er deel nemen, is dat eigenlijk niet zo belangrijk: als iets gekraakt kan worden door 1 persoon, kan het door meerdere mensen gekraakt worden. Vraag is dus niet door hoeveel mensen een besturingssysteem of browser gekraakt kan worden, maar OF het gekraakt kan worden.
Voorgaande Pwn2Own evenementen? Vorig jaar was Safari de enige die overeind bleef toch?

Bron: http://technoose.com/the-results-of-pwn2own-2012/
tJa, ik krijg het idee dat Google dan ook het neusje van de zalm onder de afgestudeerden (programmeurs van TU's ) binnen ziijn bedrijfsmuren haalt. Dus zo gek is het dan niet, die jongens en meisjes kunnen wel wat.
Nou ja, los van welke producten je prettiger vindt, dat doen Apple en Microsoft ook wel hoor.
Er hangt bij google een hele dreigende sfeer. (i know want ik ken iemand die al in UK en polen heeft gewerkt bij google)

Google heeft hele strikte verkoop doelen. Ze zijn goed voor je... zolang je maar exact doet wat ze eisen.

Het is echt geen lolletje om daar te werken...! het is flink aan poten. uiteraard is daar ook niets mis mee!
En Microschoft heeft niet het neusje van de zalm? Dat geloof ik eerlijk gezegd niet. Ik denk dat 't 'm meer zit in wat je doet met je menselijke kapitaal, hoe je de beste mensen stimuleert om tot topprestaties en topproducten te komen. Daar is Google veel beter in dan de meeste andere bedrijven.
Om een 'Googler' de worden moet wel van echt goed huize komen en feit is gewoon dat Google de echte 'top' als ver van de voren, tijden de opleiding, recruteerd. Dus Google heeft wat dat betreft wel het neusje van te pakken. Daarnaast krijg je als 'Googler' om zoveel procent tijd om de toen wat JIJ interessant vindt, daarom worden weel experimenten vaak serieuze vernieuwingen. :)
Datzelfde doet Microsoft ook en waarschijnlijk nog wel meer bedrijven. Heel veel tools die microsoft publiceert zijn geschreven door werknemers in die 'vrije' tijd. Zoek maar eens op mousewithoutborders of remote desktop manager.

Google heeft het imago vooral mee omdat het een jonger bedrijf is en aan hippe marketing doet.

[Reactie gewijzigd door Segura op 9 maart 2013 17:53]

Van de site van Mouse without Borders/Microsoft: "Garage projects are side projects that Microsoft employees like Truong build for fun on their nights and weekends." Dat is het verschil met Google, waar een werknemer 20% van zijn tijd (betaald!) aan zijn eigen project(en) mag besteden.
waar een werknemer 20% van zijn tijd (betaald!) aan zijn eigen project(en) mag besteden.
Dat is een mythe, je mag 20% (1 werkdag) van je tijd buiten je normale team/afdeling werken. Dit kan van alles zijn, een dag werken bij een ander team, recruiting, of aan een ander project werken. Het is echter nooit aan een eigen project, aangezien alles wat in de tijd gedaan wordt gewoon onder werktijd valt, en dus gewoon van Google is.
er bestaan bij Google / Microsoft geen "eigen" projecten.
Alles wat je maakt is automatisch eigendom van de werkgever.
Maar een "eigen" project kan zijn dat jij aan een stukje van chrome werkt, maar dat je een leuk idee hebt voor android. Als je daar dan aan werkt is dat een "eigen" project.
Daarnaast krijg je als 'Googler' om zoveel procent tijd om de toen wat JIJ interessant vindt, daarom worden weel experimenten vaak serieuze vernieuwingen.
Dat is een leuk gerucht, maar in de praktijk werkt het net wat anders. Je moet een business case voorstellen aan je management en als je goedkeuring krijgt mag je een deel van je tijd aan je project besteden. Dit project krijgt ook gewoon deliverables mee en als het niets lijkt te worden, cancelen ze het weer gewoon.

Dat soort constructies hebben ontzettend veel bedrijven en is dus ook helemaal niet zo uniek.
[...]


Dat is een leuk gerucht, maar in de praktijk werkt het net wat anders. Je moet een business case voorstellen aan je management en als je goedkeuring krijgt mag je een deel van je tijd aan je project besteden. Dit project krijgt ook gewoon deliverables mee en als het niets lijkt te worden, cancelen ze het weer gewoon.
Dat is niet waar. Het is wel de bedoeling dat je iets nuttigs probeert te doen voor je vakgebied (niet eens voor Google zelf), maar een business case voorleggen aan je manager is helemaal niet nodig.
ervaring / inside info ??/ of toevallig een wilde gok.. lijkt me wel het vermelden waard...
Microsoft heeft een dedicated R&D divisie. En dat gaat wat verder dan de nieuwe versie van Windows. http://research.microsoft.com/en-us/

Als je op deze pagina kijkt zie je een hoop R&D binnen Microsoft, het werkt anders dan bij Google, maar Microsoft heeft veel ruimte voor R&D.

In dit artikel zie je dat Microsoft 9 miljard dollar uitgeeft aan R&D.
"Wij van WC-eend..."
Chrome OS, which is a Linux-based operating system running a Chrome browser, may have been more difficult to hack thanks to ten bug fixes which arrived just before the competition.
http://techcrunch.com/201...ing-competition-pwnium-3/

Eerst maar eens zien wat er gaat gebeuren wanneer er voldoende Chrome-books (+nettops) in gebruik zijn. Als dat ooit gaat gebeuren tenminsten. Met de prijs van de huidige chromebook wordt het niks. Bovendien is Chrome wel gekraakt dat dus op Chrome OS draait. Chrome OS is zo beperkt, dan is het ook niet zo gek dat er geen exploits zijn gevonden.
During day 2, Adobe Reader, Flash and Java also fell
En daar heb je dus meteen het zwakke punt van alle desktopsystemen tegenwoordig, onafhankelijk van het OS.

[Reactie gewijzigd door Conzales op 9 maart 2013 18:39]

Is dat zo? Op Amazon is de chromebook de best verkopende laptop. Ze zetten het ding niet eens in de notebook categorie, het verkoopt beter dan al het andere met een tft, een schanier en een toetsenbord..... Het is dus een veel verkocht apparaat en daardoor dus interessant voor hackers
Zoals loetje6 zegt is het veel verkocht en nog belangrijker, het hele OS zelf is read-only waardoor zelfs via die flashbugs het niet mogelijk was om het OS binnen te komen. In het ergste geval lukt het je dus om rond te klooien tot de tijd dat iemand z'n computer uit zet, natuurlijk nog steeds gevaarlijk, maar niettemin helpt het enorm en klopt je statement dat het onafhankelijk van het OS is simpelweg niet.
We leveren er al met regelmaat aan bedrijven ... ;)
Mwah als je de dag zelf nog 6 kwetsbaardheden dicht voordat je aan de wedstrijd begint is het vrij logisch dat het niet gelukt is.
wel spijtig dat dit voor google medewerkers hun job is en hackers er zwaar voor betaald krijgen. Ik kan mij niet inbeelden dat ze hetzelfde bedrag als loon krijgen en dat ze gelijktijdig aan de wedstrijd mogen meedoen.
Misschien levert Google een leuke interne bonus aan de medewerkers als er geen exploits gevonden worden.
dan gaan die 3.14159 miljoen toch nog naar een leuk doel,
kan de waarde trouwens wel waarderen :P (pi)

verder verassend dat niemand erin geslaagd is chrome OS te pakken te nemen,
het is in essentie toch een soort "glorified browser" dus je zou denken gezien hij alles met het internet doet dat er wel iets te vinden moet zijn.

of het is zo lek dat geen van de gevonden problemen nieuw was :+
"het is in essentie toch een soort "glorified browser""

Dit is inmiddels niet meer het geval hoor.
Dat is het nog steeds. Er zit alleen een "desktop" omheen om webapps te starten. Maar die webapps zijn nog steeds browser vensters.
dan gaan die 3.14159 miljoen toch nog naar een leuk doel,
kan de waarde trouwens wel waarderen (pi)
Google heeft wel meer met leuke getallen. Zo waren biedingen op motorola ook allemaal getallen zoals pi, het natuurlijk getal enz enz. De naam google zelf is waarschijnlijk ook afgeleid van googol (een 1 met 100 nullen).
Staat natuurlijk wel tegenover dat Google medewerkers gewoon elke maand uitbetaald krijgen. Een hacker alleen als hij iets weet te vinden..
Dat is eigenlijk logisch. Indien Google er niets voor over heeft dan verkoopt men de exploit op de zwarte markt. Op die manier is de eindgebruiker de dupe en ook Google want de getroffen eindgebruiker verliest het vertrouwen in het product.
das wel appart, niemand die safarie wilde kraken,
ik ben wel heel benieuwd of er mensen zijn die relevante kennis hebben op dit gebied...
ik kan me iig niet voorstellen. dat safarie zo goed zou zijn dat men geen zin heeft het te proberen,
en evenmin dat er alleen maar fans zijn die geen eigen 'lievelings software' wil kraken.
ook lijkt het me wat ver gezocht om aan te nemen dat de uitgeloofde prijzen lager waren en het om financiele redenen dus links is blijven liggen...

maar wat dan wel????


@ dasiro boven mij, ik gok dat een gemiddelde programeur aan chrome echt niet heel bang hoeft te zijn dat ie vel minder verdiend dan een beetje top hacker (wanneer die het alleen bij legale hacks houd)

bovendien vraag ik me af of die google mederwerkers niet gewoon mee mogen doen, ( aan bijv de hacks op firefox, of adobe software)...

[Reactie gewijzigd door i-chat op 9 maart 2013 17:04]

De deelnemers kiezen zelf welke browsers ze onder vuur nemen. Ik denk dat er het er mee te maken heeft dat Safari alleen op Mac OSX werkt. Internet Explorer werkt alleen op Windows, maar dat wordt meer gebruikt en is daarom veel interessanter. Browsers als Firefox, Chrome, etc. werken zowel op Windows, Linux en Mac OSX.

Omdat Windows veel gebruikt wordt, en 'echte hackers' liever op Linux werken dan op Mac OSX (van de UNIX-based OSen, voor tools etc.), valt Safari buiten de boot. Ik denk dat dit er mee te maken heeft, maar dat zou je eigenlijk aan de deelnemers zelf moeten vragen.
Safari onder windows wordt niet meer bijgehouden en is dus een te gemakkelijk doelwit.
das natuurlijk best wel een beetje onzin voor dit soort evenementen gaat elke hacker natuurlijk al op zoek naar potentiele problemen duh, iedereen wil graag wat meer tijd dan de concurent. dat google wat bekende problemen op de valreep nog even fixt, maakt de strijd wat eerlijker, omdat heel wat mensen nu opnieuw moeten gaan zoeken.

echter voor het zelfde geld zat net hun exploit er niet bij... ik kan me echter weinig voorstellend dat google omwille van deze wedstrijd al gefixte lekken een paar dagen of zelfs weken expresss open laat om mensen een paar euro te bespraken op zo'n evenement...

dat ze een patch of meer van beta-kwaliteit alvast de deur uit doen, waar de normaal iets langer zouden wachten... kan ik nog wel begrijpen... maar als DAT is gebeurd hebben hackers niet goed genoeg gezocht... want dan zullen er vast nog wel hacken en ogen aan die patches hebben gezeten.

in alle gevallen zie ik weinig relevantie in je opmerking..
Over Safari

Ik vind berichten dat:

""HP had originally put Apple Safari running on OS X Mountain Lion as a target for Pwn2own 2013. HP put a bounty of $75,000 for any researcher to claim against it, but no one did.""

http://www.esecurityplane...fall-at-pwn2own-2013.html

En

"""No one pre-registered for Safari this year," Gornec said. "Why that happened we don't know; maybe they were focused on Chrome."""

http://www.internetnews.c...me.-safari-untouched.html

[Reactie gewijzigd door World Citizen op 9 maart 2013 17:13]

Achja, ik zelf heb ook Chrome draaien op onze iMac. Waarom? Hij is vele malen sneller als Safari en werkt ietsje lekkerder. Verder vind ik safari geen slechte browser hoor.
Dus Google dichte nog, vlug voor de competitie, enkele gaten. Waarschijnlijk juist de gaten die zijn gebruikt en nu dus ongeldig zijn. Ja, zo kan ik het ook... De deelnemers werken er vooraf aan, 't is niet zo dat ze dat allemaal dan even vlug doen.

[Reactie gewijzigd door Loller1 op 9 maart 2013 17:12]

T doel is juist nieuwe dingen te vinden, als Google ze patcht dan waren ze niet meer zo nieuw
Dus we moeten browsers maar niet patchen en geen gaten zoeken omdat er een wedstrijd aan komt?

Het is wat anders als Google een lek patched dat een van die teams gevonden heeft, voorafgaand aan de wedstrijd naar aanleiding van een tip van dat team. Maar goed, als je zo tipt dan ben je ook een dief van je eigen portemonee.

In alle andere gevallen is het gewoon development.

Het is natuurlijk niet de bedoeling dat je bij een dergelijke wedstrijd open deuren in gaan trappen door bestaande, bekende gaten aan te dragen.
Zo had ik het inderdaad nog niet gelezen. Je ontvangt de inzendingen, dicht snel de gaten en wow er is niemand (meer) die een exploit in Crome vindt.
wat is dat nu voor opmerking.
Mag microsoft dan volgens u een jaar geen patching doen tot wanneer er zo'n wedstrijd komt.
Maar het moet zijn dat jij het toch niet kan. (buiten met uw mond)
Ondanks de prijzenpot van 3,14159 miljoen dollar
Ik dacht "waarom schrijven ze niet gewoon $ 3.141.590", maar nu snap ik hem pas... Nerds will be nerds :D
Het gaat dus om het getal pi
dan hadden ze nog altijd beter $3,141,592.65 kunnen schrijven ;)
of gewoon πM$ (nee, geen pi microsoft maar pi MegaDollar) :P

[Reactie gewijzigd door Magic op 9 maart 2013 19:17]

als ze dat doen dan liever πMi$ ... das net even een paar porcent meer....

(* dit omdat mega tegenwordig om multituden van 1000 en niet langer van 1024 (veelheden van 2) gaat) maarja bedrijven blijven gierig he ;)

[Reactie gewijzigd door i-chat op 9 maart 2013 21:26]

Mega is altijd al 1000000 geweest, denk aan kilometer en megahertz. http://en.wikipedia.org/wiki/Mega-

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013