Google looft prijs uit voor Pwn2Own-hack Chrome

Tijdens de vijfde Pwn2Own looft Google 20.000 dollar uit aan de deelnemer die Chrome op dag één hackt. Op het evenement van TippingPoint krijgen hackers de kans om browsers of mobiele telefoons binnen een bepaalde tijd te hacken.

Chrome krijgt twee wedstrijden. Op de eerste dag zijn 20.000 dollar en de eigen CR-48-laptop van Google binnen te slepen. Een deelnemer mag op die dag alleen zwakheden in Googles eigen code misbruiken. Als er die dag geen succesvolle deelnemers zijn, looft TippingPoint op dag twee of drie 10.000 dollar uit voor een sandbox escape in non-Google code. Google doet daar op die dagen 10.000 dollar bij. Plug-ins buiten de ingebouwde pdf-ondersteuning van Chrome zijn uit den boze.

Googles actie is onderdeel van de browsercompetitie. Bij de browsers zijn dit jaar ook Internet Explorer, Safari en Firefox onder de slachtoffers. Iedere browser wordt geïnstalleerd op een 64bit-versie van OS X of Windows 7. Een succesvolle hack levert een deelnemer in ieder geval 15.000 dollar op, de laptop waarop hij zijn poging deed en 20.000 ZDI-punten. Deze punten horen bij het Zero Day Initiative, een onderdeel van TippingPoint. Iedere deelnemer krijgt dertig minuten toegewezen.

Mobiele-telefoonhacks vinden plaats op een base station. Hierdoor kunnen deelnemers de base bands van de telefoon aanvallen. De Dell Venue Pro met Windows Phone 7, de iPhone 4, de BlackBerry Torch 9800 met BlackBerry 6 en de Nexus S met Android zijn hier de slachtoffers. De deelnemer moet een aanval bedenken die weinig interactie van de gebruiker vereist en er moet bruikbare informatie op de telefoon worden gecomprimeerd. Een succesvolle poging levert de hacker 15.000 dollar op, het apparaat zelf en wederom 20.000 ZDI-punten.

Vorig jaar wist Nederlander Peter Vreugdenhil enkele kwetsbaarheden in IE8 te benutten door de beveiliging van Windows 7 te omzeilen. Dit jaar is hij jurylid bij deze competitie. Pwn2Own vindt plaats op 9, 10 en 11 maart te Vancouver, tijdens de CanSecWest-conferentie.

Door Luke van Velthoven

Stagiair

Feedback • 03-02-2011 17:06
39 • submitter: player-x

03-02-2011 • 17:06

39

Submitter: player-x

Lees meer

Nederlandse hackers behalen tweede en derde plek bij Cyberlympics
Nederlandse hackers behalen tweede en derde plek bij Cyberlympics Nieuws van 30 september 2014
Chrome OS overleeft Pwnium 3-aanvallen
Chrome OS overleeft Pwnium 3-aanvallen Nieuws van 9 maart 2013
Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk
Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk Nieuws van 12 december 2012
Pwn2Own-valstrik in Chrome laat browser crashen
Pwn2Own-valstrik in Chrome laat browser crashen Nieuws van 13 maart 2012
Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld
Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld Nieuws van 8 maart 2012
Beveiligingsbedrijf vindt kwetsbaarheden in Google Chrome
Beveiligingsbedrijf vindt kwetsbaarheden in Google Chrome Nieuws van 10 mei 2011
Microsoft brengt Internet Explorer 9 uit
Microsoft brengt Internet Explorer 9 uit Nieuws van 15 maart 2011
Safari op Mac OS X eerste slachtoffer Pwn2Own 2011
Safari op Mac OS X eerste slachtoffer Pwn2Own 2011 Nieuws van 10 maart 2011
Apparaten met iOS vatbaar voor aanval op keychain
Apparaten met iOS vatbaar voor aanval op keychain Nieuws van 10 februari 2011
Googles prijsvergelijker is klaar voor Nederlandse webwinkels
Googles prijsvergelijker is klaar voor Nederlandse webwinkels Nieuws van 8 februari 2011
Hacker steelt 12 miljoen dollar aan pokerchips van Zynga
Hacker steelt 12 miljoen dollar aan pokerchips van Zynga Nieuws van 4 februari 2011
Google Chrome 9 uitgebracht met WebGL en WebP
Google Chrome 9 uitgebracht met WebGL en WebP Nieuws van 4 februari 2011
Apple iPad binnen een dag al gejailbreakt - update
Apple iPad binnen een dag al gejailbreakt - update Nieuws van 5 april 2010
'Exploit Safari kan voor jailbreak iPhone-OS zorgen'
'Exploit Safari kan voor jailbreak iPhone-OS zorgen' Nieuws van 31 maart 2010
Nederlander omzeilt Windows 7-beveiliging en hackt IE8
Nederlander omzeilt Windows 7-beveiliging en hackt IE8 Nieuws van 25 maart 2010
iPhone als eerste gehackt op Pwn2Own
iPhone als eerste gehackt op Pwn2Own Nieuws van 25 maart 2010
Meer producten en artikelen
Browsers Mobiele besturingssystemen Beveiliging Hackers

Reacties (39)

-Moderatie-faq
39
39
23
1
0
6
Wijzig sortering
laurenssie 3 februari 2011 17:16
En wat zijn ZDI punten dan?
ArnoutV @laurenssie3 februari 2011 17:18
In de tekst:
ZDI-punten. Deze punten horen bij het Zero Day Initiative, een onderdeel van TippingPoin
Black Eagle @ArnoutV3 februari 2011 17:19
En dan weet je dus nog niks...
Maar goed, hier wat je er mee kan/voor krijgt.

http://www.zerodayinitiative.com/about/benefits/
Ruud v A 3 februari 2011 17:09
Begrijp ik nu goed dat Google op dag twee of drie 10.000 dollar uitlooft en TippingPoint ook? En voor wat voor soort bug is dat? Ik neem aan niet iedere bug, anders hoeft je maar het lijstje met bugreports door te nemen …
cxavier @Ruud v A3 februari 2011 17:21
Nee, dat geldt niet voor iedere bug:
To walk off with Google's $20,000 on Pwn2Own's first day, a researcher must find and exploit two vulnerabilities in Google's code. Only on the second and third days of the contest can researchers employ a non-Chrome bug, say one in Windows, to break out of the sandbox. A successful attack on the second and third days will still put $20,000 in the researcher's pocket, but only $10,000 of that will come from Google; TippingPoint will pony up the other $10,000.
http://www.computerworld....t_be_hacked?taxonomyId=15
Ruud v A @cxavier3 februari 2011 17:23
Dankje! Als dit in het artikel gestaan had, was het een stuk duidelijker geweest.
ikt @Ruud v A3 februari 2011 17:22
Waarschijnlijk bugs die het "moedersysteem" schade kunnen toe laten brengen, zoals dingen uitvoeren via die bugs. Een blokkerende toolbar zal waarschijnlijk niet van vitaal beveiligingsbelang zijn ;)
shakedown 3 februari 2011 18:02
Ik vind dit echt een fantastisch initiatief. Bedrijven die vragen aan de beste hacker ter wereld om hun spullen te hacken. Dingen die je eigen programmeurs, toch ook niet de domste op dit gebied, over het hoofd zien.

Elke programmeur heeft een bepaalde stijl van programmeren. Het schijnt dat je aan de code soms kunt zien wie het gemaakt heeft. En iedereen heeft een bepaalde invalshoek waarop hij code benaderd. Je kunt nog zo veel testen en zoeken in je eigen code om iets safe te maken. Er is altijd wel iets wat je niet ziet. En een betere testcase kun je volgens mij niet krijgen...
watercoolertje
@shakedown3 februari 2011 18:23
Dingen die je eigen programmeurs, toch ook niet de domste op dit gebied, over het hoofd zien.
Of juist niet :) Chrome was vorig jaar volgens mij NIET gehacked, dus de ontwikkelaars verdiende zeker een schouderklopje en nog leuker die 20.000 verdelen ofso (hoewel zal wel paar 100 man aan werken oid?)...
_Thanatos_ @watercoolertje3 februari 2011 19:22
Dat paar 100 man kon nog weleens tegenvallen. Zelfs het MSIE-team is niet zo groot, zag ik een tijdje geleden in eoa video over IE9. En gezien Google niet z'n eigen layout-engine maakt, heb je wat dat betreft alleen implementors, en geen bouwers van de engine. Ik denk dat ze het af kunnen met 20 man.
Helmore @_Thanatos_4 februari 2011 12:15
De WebKit layout-engine is dan niet van Google zelf, Google heeft toch zeker wel een flink aantal mensen werken aan de WebKit engine. Daarnaast komt er nog meer bij kijken dan alleen wat WebKit te bieden heeft, denk bijvoorbeeld aan de V8 JavaScript engine die Google zelf maakt.
Yuregenu @shakedown3 februari 2011 21:16
Op mijn opleiding kreeg ik bij de eerste lessen in Java al te horen dat de gemiddelde (ervaren) programmeur één fout per 500 regels code maakt. Als je er dan van uitgaat dat OS'en als Chrome uit vele duizenden, zo niet enkele miljoenen regels bestaat, zijn er aardig wat exploits die potentieel gevaarlijk kunnen zijn.

Ik ben het daarom roerend met je eens dat het vinden van een kwaadaardige bug voor de release een goede zaak is. Slotenmakers kunnen hun werk ten slechte en ten goede gebruiken, maar hackers kunnen dat natuurlijk ook :)
watercoolertje
@Yuregenu4 februari 2011 08:06
Maar met die kennis kan je ook op je vingers natellen dat er nog wordt gechecked, dus ja in eerste instantie kan een programmeur zeker veel fouten maken maar het merendeel zal niet in een uitgebrechte versie komen, dat kleine beetje wat over is komt hopelijk naar voren in deze wedstrijd ;) (wil niet zeggen dat als ze niks vinden er ook geen lekken zijn natuurlijk)
Wilf 4 februari 2011 04:12
Dit soort initiatieven is op zoveel vlakken ontzettend slim dat het veel wijder verbreid zou moeten zijn:

1. Het is de ultieme stress test voor je code.

2. Het is ontzettend goedkoop (20.000 dollar is echt peanuts voor bug/exploit searches, helemaal als je potentiële kosten door bugs en exploits meerekent).

3. Hacken wordt weer steeds meer in het juiste daglicht gezien: het optimaliseren en het verbeteren van o.a. software door je nieuwsgierigheid te botvieren - dit in tegenstelling tot cracken.

4. Hackers krijgen een zakcentje waardoor ze gestimuleerd worden zo hard mogelijk op zoek te gaan naar bugs en exploits.

5. Het kan een aanzuigende werking hebben op een nieuwe generatie "wizz kids", programmeurs en de technologische helden van de toekomst.

6. Het maakt hacken tot een soort competitie/sport waardoor de kwaliteit en ontwikkeling rap kan groeien - alleen maar goed voor technologische vooruitgang.

Dit zijn slechts een paar punten die mij te binnen schieten.
harrydg @Wilf4 februari 2011 09:58
ik ben het hier deels mee eens (niet helemaal dus)

Je moet weten dat 20.000 in security land niet zo heel veel is. Bijvoorbeeld virusmakers/mafia/evil masterminds weten ook dat er bugs zitten in software.

Dus stel dat ik een fout in chrome vind... dan is het nu leuk dat ik 20.000 dollar daarvoor krijg, maaaaaar... ik kan gemakkelijk meer krijgen (afhankelijk van de mogelijkheden van de bug) op "andere kanalen".

Dus ja... het is een goed initiatief, maar je moet niet meteen denken dat de "beste hackers" hier op gaan vliegen.

Trouwens, de "beste hackers" verdienen dit soort geld snel genoeg om niet te moeten "gokken" op dit soort "events"
Floor @harrydg4 februari 2011 10:45
Je vergeet wel een aantal heel belangrijke factoren wanneer je wint. Je naam is meteen bevestigd en bekend. De lucratieve contracten komen later wel. En de eer speelt natuurlijk ook mee.
ad-user @Wilf4 februari 2011 18:48
Ieder voordeel heeft zijn nadeel:

Mensen raken geiinteresseerd in hacken; gaan zich er in verdiepen en als ze dan op een gegeven moment een lek vinden is het de vraag wat ze er dan mee doen.

Hoop niet dat ze dit soort "wedstrijdjes" ook voor virussen gaan organiseren.
Verwijderd 3 februari 2011 17:13
gaat niet om het OS.


Bij de browsers zijn dit jaar ook Internet Explorer, Safari en Firefox onder de slachtoffers. Iedere browser wordt geïnstalleerd op een 64bit-versie van OS X of Windows 7.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:17]

Roverwijn 3 februari 2011 17:14
Zo zie je maar weer, de eerste keer hack je en ontvang je geld, het jaar daarna werk je als jurylid. Dus een eventuele baan is daar ook gelijk aan gebonden.
ingmaronline 3 februari 2011 19:19
Verstandige manier om zo de mate van je eigen security onder de loep te nemen / te testen.

Als ze dit nou eens hadden gedaan met de OV chipkaart, konden ze er gauw genoeg achter komen dat het niks was :P
watercoolertje
@ingmaronline4 februari 2011 08:07
Als ze dit nou eens hadden gedaan met de OV chipkaart, konden ze er gauw genoeg achter komen dat het niks was :P
Dat wisten ze ook al, niet door eigen test maar testen van andere, het internet :) Dus nee denk niet dat dat ze ineens wel had overgehaald, ze hebben nu ook bewust een lekke chip gebruikt...
CH4OS 3 februari 2011 21:27
Toch zie ik het nut van het "hacken" niet als je het aan zoveel regels bindt. Zijn dat dan al bekende zwakheden vraag ik mij dan af... ;)
Verwijderd 4 februari 2011 09:10
Ik denk niet dat de data zoals in het artikel staat 'gecomprimeerd' hoeft te worden, iets zegt mij dat hier gecompromitteerd wordt bedoeld....
koter84 @Verwijderd4 februari 2011 16:30
dat dacht ik ook al, slordige fout
IselMedia 3 februari 2011 17:11
Android en iPhone zijn toch allang gehacked ? of lees iets verkeerd ?
Verwijderd @IselMedia3 februari 2011 17:16
Je leest dus iets verkeerd.
Het gaat hier om de browsers, niet om het OS.
Verwijderd @Verwijderd3 februari 2011 20:46
Probleem is alleen dat er minstens twee bekende informatie lekken zitten in de browser van Android 2.3.
Maar misschien mag je bekende lekken niet gebruiken

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq