Google beloont hacker alsnog voor Chrome OS-exploit

Google heeft een beloning van 40.000 dollar uitbetaald aan de hacker die opereert onder de bijnaam Pinkie Pie. Hij zou als enige tijdens de Pwnium-hackwedstrijd een werkende exploit hebben ingediend voor het op de Chrome-browser gebaseerde besturingssysteem.

Kort na afloop van de Pwnium 3-wedstrijd zou een volledig gepatchte Chromebook, een Series 5 550 van Samsung, de aanvallen van hackers hebben overleefd. Firefox, Chrome, Internet Explorer 10, Java, Adobe Flash en Adobe Reader werden wel gekraakt. Google hield echter bij deze mededeling een slag om de arm en liet weten dat het nog een aantal inzendingen zou bekijken.

Na een evaluatie blijkt alleen een hacker met alias Pinkie Pie een deels werkende exploit te hebben ingediend bij Google, zo schrijft het bedrijf op zijn Chromium-blog. Daarvoor heeft hij 40.000 dollar aan prijzengeld ontvangen. Google omschrijft een plausibele bug in videoparsing, evenals een bug in de onderliggende Linux-kernel en in een configuratiebestand. De gevonden bugs zouden inmiddels in Chrome OS zijn gedicht.

Pinkie Pie is een bekende bij het opsporen van fouten in Google-software. De hacker wist in voorgaande Pwnium-wedstrijden al enkele honderdduizenden dollars op te strijken. Google stimuleert hackers niet alleen via evenementen als Pwnium om kwetsbaarheden in zijn software te melden. Zo heeft het bedrijf het Chromium Vulnerability Reward Program lopen, waarbij bugs en zero-day-exploits in alle Chrome-producten aangemeld kunnen worden, in ruil voor een mogelijke beloning.

Door Dimitri Reijerman

Redacteur

Feedback • 19-03-2013 15:2031

19-03-2013 • 15:20

31 Linkedin

Lees meer

Aantal bij Facebook gemelde high impact-bugs is met 38 procent gestegen Nieuws van 10 februari 2016
Aanvallers misbruiken zero-day-kwetsbaarheid in Flash Nieuws van 22 januari 2015
Kwaadwillenden kunnen Chrome-gebruikers afluisteren via verborgen venster Nieuws van 22 januari 2014
Dell kondigt Chromebook 11 voor onderwijsmarkt aan Nieuws van 11 december 2013
HackerOne beloont het melden van bugs die stabiliteit internet bedreigen Nieuws van 7 november 2013
Toevoeging virtueel toetsenbord duidt mogelijk op Chrome OS-tablets Nieuws van 26 oktober 2013
Google gaat veiligheidspatches voor opensource-software belonen Nieuws van 10 oktober 2013
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken Nieuws van 8 oktober 2013
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1 Nieuws van 20 juni 2013
HP brengt Chromebook toch uit in Nederland Nieuws van 3 juni 2013
Microsoft werkt aan patch voor zero day in Internet Explorer 8 Nieuws van 6 mei 2013
Oracle stelt Java 8-release uit tot begin 2014 Nieuws van 20 april 2013
Firefox-nightly implementeert desktopnotificaties Nieuws van 24 maart 2013
Google-topman: Android en Chrome OS blijven gescheiden Nieuws van 21 maart 2013
Chrome OS overleeft Pwnium 3-aanvallen Nieuws van 9 maart 2013
Meer producten en artikelen
Laptops Netwerk en systeembeheer Besturingssystemen Google Chrome os Chromium

Reacties (31)

-Moderatie-faq
31
30
22
1
0
4
Wijzig sortering
Martijntj
19 maart 2013 15:31
Zo'n hacker kan daar natuurlijk best van rondkomen! Is het voor Google op den duur niet veel voordeliger om de beste man in dienst te nemen?
freaky
@Martijntj19 maart 2013 16:34
Geen idee of ie daar van rond kan komen. 40.000 is natuurlijk veel geld, maar exploits zoeken en ze werkend krijgen neemt vaak erg veel tijd in beslag. Hacken zoals in films als Swordfish gebeurt waarbij ze even een 9-koppige hydra? schrijven in nauwelijks tijd is grote fanta. Tenzij ie 99% van die code al klaar had staan op die PDP-10 natuurlijk.

Daar komt dan nog bij in dit soort competities dat als Jantje em eerder indient dan Pietje, dat Pietje waarschijnlijk gewoon pech heeft. Voor een goed beeld zou je iets van een gemiddelde moeten zien te vinden. Er doen veel meer mensen aan mee dan alleen Pinky Pie natuurlijk en de rest heeft gewoon een hoop tijd verspild (leuk voor hobby wellicht - geen inkomsten echter, voor Google is het wel prettig natuurlijk, al die mensen hebben wel 'consultancy' geleverd maar krijgen geen geld).

Voor Google is het een heel leuk concept dus en er komen veel mensen op af, het systeem zelf is wel erg degelijk wat dat betreft. Veel exposure, alleen kosten bij daadwerkelijk aangeleverde dingen.

Wellicht dat onze overheid tegen z'n IT leveranciers ook eens gewoon moet zeggen dat ze niet betaald krijgen als het niet werkt. Heb dat altijd raar gevonden in deze industrie. Zeggen dat je iets kan maken, 4 jaar en 5 miljard verder roepen dat niet kan, maar wel die 5 miljard mogen houden en zelfs mee mogen naar de tekentafel voor het volgende (waarschijnlijk ook falende) project. En wij maar betalen...
Anoniem: 28333
@freaky19 maart 2013 18:02
Er staat in het bericht dat hij al enkele tonnen van Google heeft gewonnen. Als je daar niet van kan rondkomen 8)7 . (Pwnium bestaat vanaf 2007)
Anoniem: 295700
@Anoniem: 2833320 maart 2013 01:47
Ik denk dat op dit niveau lekken opsporen geen hobby meer is maar iets waar je bijna full-time aan kunt werken. Dan mag het natuurlijk wel wat opleveren. Uiteindelijk zullen er maar een paar zijn die er echt van kunnen leven.
iw@n
@Anoniem: 2833320 maart 2013 13:22
voor google nog steeds interessant. In Nederland is 40.000 pp per kwartaal een veel gebruikte schatting van kosten voor een hook opgeleide techneut. 160.000 pp per jaar. vanaf 2007 dus ongeveer 800.000.

Ik weet niet wat "enkele" in "enkele tonnen" precies is maar als "enkele" twee is en het is je inkomen vanaf 2007 dan kom je ruim onder modaal uit.

edit: lees verderop dat hij een werkgever heeft dus leuke bijverdienste.

[Reactie gewijzigd door iw@n op 20 maart 2013 13:23]

W4RH34D
@Martijntj19 maart 2013 15:35
Zelfs de beste zien wel eens wat over het hoofd. Dit is gewoon slim, dat geld is voor Google een schijntje vergeleken met een individu. Die kan hiervan rondkomen. Hierbij hoeven ze ook nog niet eens iemand in dienst te nemen. Gewoon de massa het werk laten doen is effectiever en ze doen hard hun best, want anders krijgen ze het geld niet. Werk je daar ben je zeker van het geld, omdat je een vaste baan hebt.

[Reactie gewijzigd door W4RH34D op 19 maart 2013 15:37]

bbob
@W4RH34D19 maart 2013 17:46
Id de beste zien ook wel eens iets over het hoofd. Een competitie houdt iedereen scherp en dat is voor google alleen maar een voordeel.

Ze zullen ook zelf mensen in dienst hebben maar ja die weten ook niet alles
bwerg
@Martijntj19 maart 2013 15:36
Als je hem in dienst neemt is wel het hele competitie-element weg. Stel dat de volgende keer niet hij, maar iemand anders een lek vindt, dan is de competitie wel handig. Hoe goed de beste man ook is in het vinden van lekken, duizend man vinden lekker sneller dan één.
BartOtten
@Martijntj19 maart 2013 15:36
Dat zal allicht maar ik denk niet dat hijzelf er veel trek in heeft ;)
Casturan
@Martijntj19 maart 2013 15:38
Voordeliger: ja, maar of dat een beter oplossing is?

Zo hebben ze constant een hoop mensen die verschillende kennis hebben, en ook verschillende dingen uitproberen.
dasiro
@Martijntj19 maart 2013 16:15
moest er maar 1 persoon meedoen wel, maar hier kan heel de wereld aan meedoen en moet je slechts betalen als iemand een goed resultaat heeft, waardoor het voor hen wel lucratief blijft.
B64
@Martijntj19 maart 2013 16:20
Is het voor Google op den duur niet veel voordeliger om de beste man in dienst te nemen?
Wie weet proberen ze dat wel, maar ik kan me zo voorstellen dat die er geen zin in heeft.

En 't is natuurlijk ook een soort marketing-uiting van Google: ze tonen hiermee aan dat het weliswaar moeilijk, maar niet onmogelijk is om lekken te vinden, en dat je er bovendien niet verkeerd voor wordt beloond.
418O2
@Martijntj19 maart 2013 16:37
Het is soms beter om niet betrokken te zijn bij een project/product om de zwakheden te kunnen zien.
aadje93
@Martijntj19 maart 2013 18:50
Door de "competitie" laat je de grote massa erop los, en betaal je alleen de gene die het lek gevonden heeft.

Als voorbeeld, 1000 man doet mee aan de competitie, 2 vinden een lek. Kost google mischien 200.000 in een jaar

Maar 1000 man op de loonlijst erbij kost ze veel meer :+


(edit, was bedoeld als reactie op martijntj)

[Reactie gewijzigd door aadje93 op 19 maart 2013 18:59]

Conzales
@Martijntj19 maart 2013 18:09
Waar staat in het originele artikel dat het een 'hij' is. Met een naam als 'Pinkie Pie' zou het net zo goed een 'zij' kunnen zijn.
Daandatbeekje
@Conzales19 maart 2013 19:16
uit een ander artikel: http://www.zdnet.com/blog...day-vulnerabilities/10649

" "Pinkie Pie," who asked to remain anonymous because he had not been authorized by his employer to participate in the contest, said he chained three different vulnerabilities to build an exploit to escape the Chrome sandbox."

[Reactie gewijzigd door Daandatbeekje op 19 maart 2013 19:16]

Anoniem: 195780
@Martijntj20 maart 2013 03:27
Anoniem: 433629
19 maart 2013 15:32
Toch schitterend dat Google het op deze slimme manier aanpakt!
mailis
@Anoniem: 43362919 maart 2013 15:55
Helemaal mee eens! even uitgaand van het goede van de mens/hacker, willen zij enkel de zwakheden aantonen. Aangezien bedrijven / overheden hier doorgaans geen openheid over willen geven, maar gebruikers daar wel een risico mee oplopen, worden hackers in die zin onder druk gezet een exploit te publiceren. Google biedt een platform en stimuleert zelfs om exploits wel naar buiten te brengen, voordat dit in duistere markten wordt verhandeld en verkeerd wordt ingezet.
CMD-Snake
@mailis19 maart 2013 16:05
De opzet van Google is ook beter, je krijgt je beloning pas als je de exploit aan hun onthuld. Bij pwn2own hoeven de deelnemers hun exploits niet (volledig) te openbaren. Hierdoor kan een fabrikant het gat niet dichten en de deelnemer staat het vrij om de exploit te verkopen aan partijen met minder goede bedoelingen.
Menesis
19 maart 2013 15:55
Haha lekker, eerst een persbericht de deur uit doen dat je niet gehackt bent en dan later daarop terugkomen. Natuurlijk hebben ze ook tijd nodig om de hacks te checken etc, maar in dit geval komt het Google natuurlijk wel goed uit dat de hack even eerst 'uitgezocht' moest worden ;)
Uiteindelijk zijn die evenementen natuurlijk een soort promo van 'wij maken de veiligste dingen'.
Royy
@Menesis19 maart 2013 16:25
De promo van 'wij maken de veiligste dingen' gaat hier eigenlijk niet op. De opzet is juist om zoveel mogelijk fouten te vinden om deze vervolgens te dichten. De promo is meer 'kijk hoe actief wij werken aan onze beveiliging en hoe wij white-hat hackers belonen'. Dit in tegenstelling tot Meneer Plasterk die wil dat je alleen via port 80 en 443 dingen mag proberen.

Tof initiatief Google, hier wek je sympathie mee!
Nox
@Royy19 maart 2013 16:52
Het is een mix van beide. Dat ze een groep hackers erop los laten en alsnog niet gekraakt zijn is ook een stukje PR.

Het is ligt net aan welke doelgroep je wilt bereiken. Wil je de consumenten bereiken dan snappen ze niet eens wat een white-hat-hacker is en zouden ze die het liefst ook 20 jaar in de gevangenis willen.
Suli
@Menesis19 maart 2013 23:00
Het is een deels werkende (unreliable) exploit en hij kreeg hierdoor ook een deel van de prijs.


Oops, reactie op Menesis.

[Reactie gewijzigd door Suli op 19 maart 2013 23:01]

Kid_Stevie
19 maart 2013 15:38
Hier zouden nog veel bedrijven en instanties wat van kunnen leren. Niet zozeer de beloning, maar positief naar dit soort hackers zijn zal al een hoop schelen.
DOA
19 maart 2013 17:52
Het is een goedkope oplossing van Google, je hebt een ongelimiteerd aantal mensen aan het werk, voor niets. Als er iemand wat vind hoef je alleen die uit te betalen. de overige kunnen verder naar de volgende uitdaging. Een zelfde groep testers inhuren kost je een veelvoud. Normale testers betaal je gewoon per uur of in loondienst. Deze betaal je per opgeleverde 'bug'.
Zolang de beloning hoog blijft, hou je op deze manier 'gratis' testers.
Anoniem: 461768
@DOA19 maart 2013 20:41
Het is een goedkope oplossing, maar gaat het hier om het geld of de veiligheid?

Uit een competetieve omgeving haal je betere feedback dan een stel mensen die tot vervelns toe hetzelfe programma loopt te testen
deacs
19 maart 2013 15:41
Kunnen andere bedrijven van leren *kuch AT&T kuch*
ptap
@deacs19 maart 2013 15:45
Of de Nederlandse overheid met de inzet van studenten ter promotie van minister Plasterk.
Tuglio
19 maart 2013 21:51
Netjes gedaan van hem. En zeer sportief nog van google

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee