Hace tiempo Google dio una serie de premios a quienes pudiesen hackear Chrome. Ahora la empresa ha anunciado Pwnium2, un nuevo concurso sobre seguridad en Chrome y ofrece un nivel de premios y bonos que se pagan a través del programa Vulnerability Rewards (recompensas por vulnerabilidad).
Gracias a los esfuerzos de los investigadores de seguridad, Chromium es más seguro, pero esto significa que encontrar agujeros en la seguridad es cada vez más difícil. Google, por ende, ha decidido añadir un bono de 1000 dólares o más, sobre ya los montos que ofrece, a aquellos que reporten un bug explotable. De hecho tienen ya una recompensa retroactiva de 3000 dólares para demostrar cómo el esquema de actualizaciones trabaja.
El Programa Chromium Vulnerability Rewards ya está en marcha y los premios son por encima de los 10,000 dólares, pero hay premios mayores para ofrecer en Pwnium2. En un anuncio que pusieron en el blog, sobre este nuevo concurso, el cual se llevará a cabo con la conferencia (de aniversario por 10 años) de Hack in the Box, la cual se llevará a cabo en Kuala, Lumpur, Malasia, Chris Evans, de Google, escribió: “Esta vez estamos patrocinando hasta con 2 millones de dólares en recompensas”.
Evans explica que hay tres niveles de recompensas:
- 60,000 dólares por un “Full Chrome exploit”: en Chrome / Win 7, a través de un usuario que explote los bugs de Chrome por sí mismo.
- 50,000 dólares “Partial Chrome exploit”: Chrome / Win 7, a través de un usuario que use al menos un bug de Chrome más otros bugs, por ejemplo, un bug del webkit combinado con un bug del kérnel de Windows.
- 40,000 dólares “Non-Chrome exploit”: Flash / Windows / otro. Chrome / Win7 a través de un usuario que no use bugs de Chrome, por ejemplo, errores (bugs) en Flash, Windows o un driver.
Una cantidad no determinada de dinero se dará -a discreción del panel de jueces- por “exploits incompletos”, es decir, aquellos que no parecen bugs confiables o que tienen una cadena de exploits incompleta. Por ejemplo, ejecución de código dentro de la caja de arena (un medio ambiente en teoría controlado para evitar virus, entre otras cosas).
En el primer concurso Pwnium, Google ofreció 1 millón de dólares. Ya veremos en octubre a qué resultados llega.
Referencia: Anuncio de Pwnium2