Google looft 1 miljoen dollar uit voor Chrome-exploits

Google wil hackers belonen voor het vinden van exploits in Chrome met prijzen tussen 20.000 en 60.000 dollar, afhangende van de zwaarheid van de exploit. Google zou dit normaal in de pwn2own-contest doen, maar ziet daar dit jaar van af.

Nieuwe Google Chrome logo (120 pix) De prijzen die Google wil uitloven zijn twintigduizend dollar voor een bug in Flash, Windows 7 of beveiligingsgaten die niet in Chrome zelf zitten maar wel een veiligheidsrisico vormt in Chrome. Een exploit die deels in Chrome zit, zoals een bug in WebKit in combinatie met de Windows 7 sandbox is goed voor veertigduizend dollar. Het grootste bedrag, zestigduizend dollar, gaat naar exploits waarvan de oorsprong enkel en alleen in Chrome zelf ligt. Winnaars krijgen hoe dan ook een Chromebook. Alle exploits moeten in Chrome met een lokale user op Windows 7 gevonden worden. De totale prijzenpot bedraagt 1 miljoen dollar.

Google doet normaal altijd mee aan de pwn2own-wedstrijd op de jaarlijkse CanSecWest-beveiligingsconferentie, maar het bedrijf ziet daar dit jaar van af. In plaats daarvan is het 'Chromium Security Rewards'-programma gestart. Reden voor het niet deelnemen is een kleine aanpassing aan het wedstrijdsreglement: dat zegt nu dat deelnemende hackers de details van uitgevoerde exploits mogen vrijgeven, terwijl zij dat vorig jaar nog moesten vrijgeven. Google wil de details weten om zelf de bugs te kunnen dichten.

Google staat bekend om zijn programma's waarbij hackers beloond worden voor ontdekte bugs of exploits bij Google. Onlangs stelde het bedrijf nog 310.000 euro beloning in het vooruitzicht voor het vinden van beveiligingsrisico's op de website van Google. De Mozilla Foundation gebruikt ook beloningen voor het aanmelden van bugs in zijn Firefox-browser.

Reacties (34)

Verwijderd 28 februari 2012 18:16

The surprising truth about what motivates us:
http://www.youtube.com/watch?v=u6XAPnuFjJc

ZenTex @Verwijderd • 28 februari 2012 18:45

Leuk filmpje ja, maar de vergelijking gaat niet helemaal op.

Met een geldbedrag stimuleert Google mensen om;
1: de exploits te gaan zoeken. Zonder zouden ze er misschien niet eens aan beginnen.
2; Een stimulans om de explooits aan google door te geven ipv helemaal niet of die exploits te gaan misbruiken.

En dus niet om hun eigen werknemers te stimuleren, dat doen ze op andere manierenn die ook in dat filmpje aan bod komen, maar om hun eigen werknemers werk uit handen te nemen en door anderen te laten doen. Reken maar dat ineens een hoop mensen naar exploits gaan zoeken, allemaal op "no exploit, no pay" basis, en dus lekker goedkoop ook.

djwice

@ZenTex • 28 februari 2012 22:37

Met een geldbedrag stimuleert Google mensen om;
1: de exploits te gaan zoeken. Zonder zouden ze er misschien niet eens aan beginnen.
2; Een stimulans om de explooits aan google door te geven ipv helemaal niet of die exploits te gaan misbruiken.

3. Nu weten mensen ook waar ze het kunnen melden als ze iets vinden; Ik heb vaker gehad dat ik niet kon doordringen tot de gene in een organisatie die het kon fixen. Het is dus belangrijk dat organisaties toegankelijk worden voor meldingen. Tot die tijd helpen beloningen om zo'n pad in de organisatie op te zetten.

Lummer @Verwijderd • 28 februari 2012 19:25

Leuk filmpje. Erg intressant!

vinest @Verwijderd • 28 februari 2012 21:58

Heel erg interessant!

Facebook geeft zijn werknemers al een dag per maand de ruimte krijgen om hun ideeën uit te werken, welke al duidelijk hun vruchten hebben afgeworpen.

Verwijderd 29 februari 2012 01:49

Exploit voor Chrome?

Wat dacht je van deze Beast "exploit/weakness" (Chrome ondersteunt alleen TLSv1.0):

http://code.google.com/p/chromium/issues/detail?id=90392

De web-browser die wij ontwikkeld hebben kan wel met TLSv1.2 werken, waarom deze grote jongen dan niet?

G4H 28 februari 2012 18:13

Slimme zet van Google. Het inhuren van experts die op zoek gaan is vele malen duurder en tijdrovender dan voor 1 miljoen dollar aan prijzengeld weggeven aan duizenden potentiële exploit vinders over heel de wereld.

Een exploit verkopen kan op de zwarte markt echter ook wel heel wat opleveren. Google moet dus niet vergeten dat er organisaties zijn die veel meer dan 60.000 willen betalen voor een exploit. Maar dan heb je het natuurlijk over black hat hacking.

Verwijderd @G4H • 28 februari 2012 20:50

Als iemand een behoorlijk gevaarlijke exploit vind zou hij dus ook met Google om de tafel moeten gaan zitten.

Overigens zijn dit soort wedstrijden ook voor de deelnemers lucratief want ze krijgen naams bekendheid en mogelijk een goed betaalde baan aangezien goed personeel schaars is..

DoT. @G4H • 28 februari 2012 21:41

plus het geeft een impuls aan de reputatie van Google. Het grote publiek krijgt de indruk dat Google hoog inzet op veiligheid. Bovendien komt het over dat Google zeker is van de veiligheid van Chrome, waarom zouden ze anders (zomaar) 1 miljoen ervoor over hebben.

Mavamaarten 28 februari 2012 18:10

Als je zoveel geld hebt is het best wel een slimme methode om je programma's veilig te maken. Een stevige beloning moedigt beveiligingsexperts (en hackers dus) ongetwijfeld aan om actief te gaan zoeken

Verwijderd @Mavamaarten • 28 februari 2012 19:02

Moedigt inderdaad White-Hat hackers aan om met hun talenten bij te dragen aan beveiliging.

klonic @Verwijderd • 28 februari 2012 23:57

Ja vooral bijdragen. Als je een lek vind ga je natuurlijk voor die $20.000 tot $60.000 in plaats van dat je er misbruik van maakt.

Zo hebben de hackers iets nuttigs te doen, worden google producten veiliger en stroomt er geld van googles bankrekening naar mensen die het waarschijnlijk uit gaan geven = goed voor de economie.

En google krijgt een goede naam, zowel op het gebied van de behandeling van mensen als qua beveiliging.

[Reactie gewijzigd door klonic op 24 juli 2024 19:30]

MneoreJ @klonic • 29 februari 2012 09:51

Als je een lek vind ga je natuurlijk voor die $20.000 tot $60.000 in plaats van dat je er misbruik van maakt.

Dat kan, maar hoeft niet. Als je denkt op de lange termijn meer dan het geoffreerde bedrag te kunnen verdienen door ofwel de bug zelf te exploiteren, ofwel een partij te vinden die er nog meer voor over heeft, dan niet.

En ja, er kunnen grote bedragen gemoeid zijn bij zulke exploits. Als alle Chrome-gebruikers in combinatie met Grote Bank Website kwetsbaar zijn, bijvoorbeeld, kan dit criminele elementen heel goed meer dan 60.000 piek waard zijn.

Natuurlijk is 60.000 legaal en met zekerheid verdiend aantrekkelijker dan 60.000 illegaal en onzeker verdiend, dus dat werkt weer in het voordeel.

3raser @MneoreJ • 29 februari 2012 10:59

Naast het illegaal verdienen aan een exploit is de kans nu ook groter dat het lek door een ander wel aan Google wordt verteld. De kans op misbruik is dus kleiner waardoor de blackhat hacker minder kans krijgt om illegaal grof geld te verdienen. Ze zullen dus eerder geneigd zijn om het geld van Google aan te pakken. Het is dus ook een soort van psychologisch spel.

madmaxnl @Verwijderd • 29 februari 2012 00:47

Hoezo alleen White-Hats, ik denk juist dat Black-Hats zich hierdoor min of meer onder de White-Hats gaan scharen (waardoor de Black-Hats, Gray-Hats worden). Black-Hats zijn meestal kundiger dan de White-Hats.

Dit komt doordat bijna alle echte goede hackers geld willen verdienen met wat ze doen en als White-Hat hacker is dat een heel stuk moeilijker als Black-Hat hacker. Nu wordt het dus ook makkelijk geld verdienen als White-Hat hacker.

bonus 28 februari 2012 18:30

Ik ben benieuwd hoeveel inzendingen ze gaan krijgen

Het nodigd in iedergeval wel uit tot "meedenken"

himlims_ 28 februari 2012 18:51

Sergey Glazunov zal er wel zin in hebben. Maar die is al bij google bekend zou die dan zijn uitgesloten?

Schway @himlims_ • 28 februari 2012 19:46

Zou zonde zijn om potentiele exploit hunters uit te sluiten.

Verwijderd 28 februari 2012 21:25

Handige manier om een centje bij te verdienen, als je het goed kan gebruiken, bijvoorbeeld voor een nieuwe pc/laptop, misschien tablet aan te schaffen of gewoon om bij te houden. Als ik iets wist van dit soort zaken was ik al lang op zoek geweest, enkel jammer dat ik er niets van weet.

Wody 28 februari 2012 18:11

Ik weet in ieder geval al een exploit... Alles wat er in chrome getypt wordt, wordt doorgestuurd naar een advertentie-bedrijf (namelijk google)

ThePendulum @Wody • 28 februari 2012 18:13

Jep, waardoor ik tenminste geen Viagra reclame zie maar interessante moederbord aanbiedingen waar ik tenminste wat aan heb

ZenTex @ThePendulum • 28 februari 2012 18:24

Ik krijg juist alleen nog maar viagra en extend pillen spam.

Ontopic:
Het lijkt mij enkel logisch dat google die stap gemaakt heeft naar een eigen programma, waarom zou je hackers subsidieren als je er zelf, en je produkt er niets mee opschiet als de ontdekker van die exploit dat niet wil? Iedereen is gebaat bij een veiliger systeem.

Overigens zijn de bedragen niet misselijk, nu maar hopen dat de exploits aangegeven worden bij Google voordat ze misbruikt worden.

Het enige dat ik niet begrijp is waarom de pot 1 miljoen dollar bedraagt. Is dat omdat men denkt dat er toch niet zoveel exxploits gevonden gaan worden en die 1 miljoen voldoende is?

Nardon @ZenTex • 28 februari 2012 18:37

Dan moet je toch een Incognito modus aanzetten als je pr0n gaat kijken.. (A)

Verwijderd @ZenTex • 28 februari 2012 19:10

Ik krijg juist alleen nog maar viagra en extend pillen spam.

Ontopic:
Het lijkt mij enkel logisch dat google die stap gemaakt heeft naar een eigen programma, waarom zou je hackers subsidieren als je er zelf, en je produkt er niets mee opschiet als de ontdekker van die exploit dat niet wil? Iedereen is gebaat bij een veiliger systeem.

Overigens zijn de bedragen niet misselijk, nu maar hopen dat de exploits aangegeven worden bij Google voordat ze misbruikt worden.

Het enige dat ik niet begrijp is waarom de pot 1 miljoen dollar bedraagt. Is dat omdat men denkt dat er toch niet zoveel exxploits gevonden gaan worden en die 1 miljoen voldoende is?

tenzij je broertje je pc gebruikt om pr0n te kijken

RielN

Google Chrome

@Verwijderd • 28 februari 2012 20:39

Uitloggen dus.

HerrPino @ThePendulum • 29 februari 2012 09:47

Maar de Viagra reclame kost je geen geld, die moederbord reclame wel. Die moederbord reclame zal je eerder aanzetten tot een impuls aankoop dan de Viagra reclame.

Nogmaals Google "sorteert" de reclame niet voor jou jij bent maar het vee. Google toont de moederbord reclame in de eerste plaats omdat een click daarop geld in het laatje van Google brengt. Google is als een boer die het juiste voer aan het juiste stuk vee geeft, een boer geeft ook geen kippenvoer aan zijn koeien.

Google toont niet waar jij in geinterresseerd bent, Google toont het geen waar ze het meeste succes mee hebben. Als uit statistieken blijkt dat mensen die op moederborden zoeken vaak potentie problemen hebben dan zal Google jou Viagra reclame tonen ... ook al heb jij daar nog nooit op gezocht.

[Reactie gewijzigd door HerrPino op 24 juli 2024 19:30]