Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 31, views: 32.356 •

Google heeft een beloning van 40.000 dollar uitbetaald aan de hacker die opereert onder de bijnaam Pinkie Pie. Hij zou als enige tijdens de Pwnium-hackwedstrijd een werkende exploit hebben ingediend voor het op de Chrome-browser gebaseerde besturingssysteem.

Kort na afloop van de Pwnium 3-wedstrijd zou een volledig gepatchte Chromebook, een Series 5 550 van Samsung, de aanvallen van hackers hebben overleefd. Firefox, Chrome, Internet Explorer 10, Java, Adobe Flash en Adobe Reader werden wel gekraakt. Google hield echter bij deze mededeling een slag om de arm en liet weten dat het nog een aantal inzendingen zou bekijken.

Na een evaluatie blijkt alleen een hacker met alias Pinkie Pie een deels werkende exploit te hebben ingediend bij Google, zo schrijft het bedrijf op zijn Chromium-blog. Daarvoor heeft hij 40.000 dollar aan prijzengeld ontvangen. Google omschrijft een plausibele bug in videoparsing, evenals een bug in de onderliggende Linux-kernel en in een configuratiebestand. De gevonden bugs zouden inmiddels in Chrome OS zijn gedicht.

Pinkie Pie is een bekende bij het opsporen van fouten in Google-software. De hacker wist in voorgaande Pwnium-wedstrijden al enkele honderdduizenden dollars op te strijken. Google stimuleert hackers niet alleen via evenementen als Pwnium om kwetsbaarheden in zijn software te melden. Zo heeft het bedrijf het Chromium Vulnerability Reward Program lopen, waarbij bugs en zero-day-exploits in alle Chrome-producten aangemeld kunnen worden, in ruil voor een mogelijke beloning.

Reacties (31)

Zo'n hacker kan daar natuurlijk best van rondkomen! Is het voor Google op den duur niet veel voordeliger om de beste man in dienst te nemen?
Zelfs de beste zien wel eens wat over het hoofd. Dit is gewoon slim, dat geld is voor Google een schijntje vergeleken met een individu. Die kan hiervan rondkomen. Hierbij hoeven ze ook nog niet eens iemand in dienst te nemen. Gewoon de massa het werk laten doen is effectiever en ze doen hard hun best, want anders krijgen ze het geld niet. Werk je daar ben je zeker van het geld, omdat je een vaste baan hebt.

[Reactie gewijzigd door W4RH34D op 19 maart 2013 15:37]

Id de beste zien ook wel eens iets over het hoofd. Een competitie houdt iedereen scherp en dat is voor google alleen maar een voordeel.

Ze zullen ook zelf mensen in dienst hebben maar ja die weten ook niet alles
Als je hem in dienst neemt is wel het hele competitie-element weg. Stel dat de volgende keer niet hij, maar iemand anders een lek vindt, dan is de competitie wel handig. Hoe goed de beste man ook is in het vinden van lekken, duizend man vinden lekker sneller dan één.
Dat zal allicht maar ik denk niet dat hijzelf er veel trek in heeft ;)
Voordeliger: ja, maar of dat een beter oplossing is?

Zo hebben ze constant een hoop mensen die verschillende kennis hebben, en ook verschillende dingen uitproberen.
moest er maar 1 persoon meedoen wel, maar hier kan heel de wereld aan meedoen en moet je slechts betalen als iemand een goed resultaat heeft, waardoor het voor hen wel lucratief blijft.
Is het voor Google op den duur niet veel voordeliger om de beste man in dienst te nemen?
Wie weet proberen ze dat wel, maar ik kan me zo voorstellen dat die er geen zin in heeft.

En 't is natuurlijk ook een soort marketing-uiting van Google: ze tonen hiermee aan dat het weliswaar moeilijk, maar niet onmogelijk is om lekken te vinden, en dat je er bovendien niet verkeerd voor wordt beloond.
Geen idee of ie daar van rond kan komen. 40.000 is natuurlijk veel geld, maar exploits zoeken en ze werkend krijgen neemt vaak erg veel tijd in beslag. Hacken zoals in films als Swordfish gebeurt waarbij ze even een 9-koppige hydra? schrijven in nauwelijks tijd is grote fanta. Tenzij ie 99% van die code al klaar had staan op die PDP-10 natuurlijk.

Daar komt dan nog bij in dit soort competities dat als Jantje em eerder indient dan Pietje, dat Pietje waarschijnlijk gewoon pech heeft. Voor een goed beeld zou je iets van een gemiddelde moeten zien te vinden. Er doen veel meer mensen aan mee dan alleen Pinky Pie natuurlijk en de rest heeft gewoon een hoop tijd verspild (leuk voor hobby wellicht - geen inkomsten echter, voor Google is het wel prettig natuurlijk, al die mensen hebben wel 'consultancy' geleverd maar krijgen geen geld).

Voor Google is het een heel leuk concept dus en er komen veel mensen op af, het systeem zelf is wel erg degelijk wat dat betreft. Veel exposure, alleen kosten bij daadwerkelijk aangeleverde dingen.

Wellicht dat onze overheid tegen z'n IT leveranciers ook eens gewoon moet zeggen dat ze niet betaald krijgen als het niet werkt. Heb dat altijd raar gevonden in deze industrie. Zeggen dat je iets kan maken, 4 jaar en 5 miljard verder roepen dat niet kan, maar wel die 5 miljard mogen houden en zelfs mee mogen naar de tekentafel voor het volgende (waarschijnlijk ook falende) project. En wij maar betalen...
Er staat in het bericht dat hij al enkele tonnen van Google heeft gewonnen. Als je daar niet van kan rondkomen 8)7 . (Pwnium bestaat vanaf 2007)
Ik denk dat op dit niveau lekken opsporen geen hobby meer is maar iets waar je bijna full-time aan kunt werken. Dan mag het natuurlijk wel wat opleveren. Uiteindelijk zullen er maar een paar zijn die er echt van kunnen leven.
voor google nog steeds interessant. In Nederland is 40.000 pp per kwartaal een veel gebruikte schatting van kosten voor een hook opgeleide techneut. 160.000 pp per jaar. vanaf 2007 dus ongeveer 800.000.

Ik weet niet wat "enkele" in "enkele tonnen" precies is maar als "enkele" twee is en het is je inkomen vanaf 2007 dan kom je ruim onder modaal uit.

edit: lees verderop dat hij een werkgever heeft dus leuke bijverdienste.

[Reactie gewijzigd door iw@n op 20 maart 2013 13:23]

Het is soms beter om niet betrokken te zijn bij een project/product om de zwakheden te kunnen zien.
Waar staat in het originele artikel dat het een 'hij' is. Met een naam als 'Pinkie Pie' zou het net zo goed een 'zij' kunnen zijn.
uit een ander artikel: http://www.zdnet.com/blog...day-vulnerabilities/10649

" "Pinkie Pie," who asked to remain anonymous because he had not been authorized by his employer to participate in the contest, said he chained three different vulnerabilities to build an exploit to escape the Chrome sandbox."

[Reactie gewijzigd door Daandatbeekje op 19 maart 2013 19:16]

Door de "competitie" laat je de grote massa erop los, en betaal je alleen de gene die het lek gevonden heeft.

Als voorbeeld, 1000 man doet mee aan de competitie, 2 vinden een lek. Kost google mischien 200.000 in een jaar

Maar 1000 man op de loonlijst erbij kost ze veel meer :+


(edit, was bedoeld als reactie op martijntj)

[Reactie gewijzigd door aadje93 op 19 maart 2013 18:59]

Toch schitterend dat Google het op deze slimme manier aanpakt!
Helemaal mee eens! even uitgaand van het goede van de mens/hacker, willen zij enkel de zwakheden aantonen. Aangezien bedrijven / overheden hier doorgaans geen openheid over willen geven, maar gebruikers daar wel een risico mee oplopen, worden hackers in die zin onder druk gezet een exploit te publiceren. Google biedt een platform en stimuleert zelfs om exploits wel naar buiten te brengen, voordat dit in duistere markten wordt verhandeld en verkeerd wordt ingezet.
De opzet van Google is ook beter, je krijgt je beloning pas als je de exploit aan hun onthuld. Bij pwn2own hoeven de deelnemers hun exploits niet (volledig) te openbaren. Hierdoor kan een fabrikant het gat niet dichten en de deelnemer staat het vrij om de exploit te verkopen aan partijen met minder goede bedoelingen.
Hier zouden nog veel bedrijven en instanties wat van kunnen leren. Niet zozeer de beloning, maar positief naar dit soort hackers zijn zal al een hoop schelen.
Kunnen andere bedrijven van leren *kuch AT&T kuch*
Of de Nederlandse overheid met de inzet van studenten ter promotie van minister Plasterk.
Haha lekker, eerst een persbericht de deur uit doen dat je niet gehackt bent en dan later daarop terugkomen. Natuurlijk hebben ze ook tijd nodig om de hacks te checken etc, maar in dit geval komt het Google natuurlijk wel goed uit dat de hack even eerst 'uitgezocht' moest worden ;)
Uiteindelijk zijn die evenementen natuurlijk een soort promo van 'wij maken de veiligste dingen'.
De promo van 'wij maken de veiligste dingen' gaat hier eigenlijk niet op. De opzet is juist om zoveel mogelijk fouten te vinden om deze vervolgens te dichten. De promo is meer 'kijk hoe actief wij werken aan onze beveiliging en hoe wij white-hat hackers belonen'. Dit in tegenstelling tot Meneer Plasterk die wil dat je alleen via port 80 en 443 dingen mag proberen.

Tof initiatief Google, hier wek je sympathie mee!
Het is een mix van beide. Dat ze een groep hackers erop los laten en alsnog niet gekraakt zijn is ook een stukje PR.

Het is ligt net aan welke doelgroep je wilt bereiken. Wil je de consumenten bereiken dan snappen ze niet eens wat een white-hat-hacker is en zouden ze die het liefst ook 20 jaar in de gevangenis willen.
Het is een deels werkende (unreliable) exploit en hij kreeg hierdoor ook een deel van de prijs.


Oops, reactie op Menesis.

[Reactie gewijzigd door Sulaine op 19 maart 2013 23:01]

Het is een goedkope oplossing van Google, je hebt een ongelimiteerd aantal mensen aan het werk, voor niets. Als er iemand wat vind hoef je alleen die uit te betalen. de overige kunnen verder naar de volgende uitdaging. Een zelfde groep testers inhuren kost je een veelvoud. Normale testers betaal je gewoon per uur of in loondienst. Deze betaal je per opgeleverde 'bug'.
Zolang de beloning hoog blijft, hou je op deze manier 'gratis' testers.
Het is een goedkope oplossing, maar gaat het hier om het geld of de veiligheid?

Uit een competetieve omgeving haal je betere feedback dan een stel mensen die tot vervelns toe hetzelfe programma loopt te testen
Netjes gedaan van hem. En zeer sportief nog van google

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Gamecontrollers Smartphones Apple Windows Sony Microsoft Games Besturingssystemen Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013