每年一度的Pwn2Own黑客竞赛的赞助商戏剧性地修改了这项挑战,今年将颁发60000美元的一等奖,是2011年最高奖金的四倍。
谷歌还将显著增加支付给那些能够黑进其Chrome浏览器的人的钱。
Pwn2Own将于3月初在不列颠哥伦比亚省温哥华举行的CanSecWest安全会议上举行,为期三天。
TippingPoint的安全研究小组负责人、Pwn2Own的组织者亚伦·波特诺伊(Aaron Portnoy)表示,四种桌面浏览器——最新版本的Chrome、苹果(Apple)的Safari、微软(Microsoft)的Internet Explorer和Mozilla的火狐(Firefox)——将成为今年的攻击目标。
与以往pwn2own的做法不同,今年的比赛将采用一个计分时间表,让每个人都能尝试一下。
更重要的是,研究人员将面临现场开发的挑战。
波特诺伊说:“比赛的第一天早上,我们将宣布每个目标有两个漏洞已经被修补,并给[研究人员]一个基本的概念验证。”“直到现在,Pwn2Own从来都不是一项观赏性很强的运动。”
现场攻击写作应该改变这一点,因为研究人员或研究团队在第一天每次攻击将获得10分,第一天为9分,第三天为8分。
虽然这些分数将大大低于32分授予为每个新浏览器“零日”——或以前没有修补漏洞发现和利用Pwn2Own全球,他们成为可能,Portnoy说,有人赢大钱通过添加一个或更多的现场利用零日(s)他们带来。
现场漏洞将针对2011年推出的四种浏览器的老版本。微软的IE8 (IE8)很可能是目标之一。例如。
得分最高的研究人员或团队将获得6万美元奖金,是Pwn2Own过去最高奖金的三倍。第二名奖金为30,000美元,第三名奖金为15,000美元。
去年,最高奖金为1.5万美元,奖金将授予第一个能够破解备受关注的桌面或移动浏览器的研究人员。
波特诺伊说,其他变化之一是消除了决定研究人员攻击目标顺序的随机抽取。
“这对竞争对手来说真的不公平,”波特诺伊说,他指出,排在前面的浏览器具有明显的优势,因为一旦被利用,浏览器就会被从竞赛中移除。
“在第三天结束之前,我们不会有任何赢家,”波特诺伊补充说。
延长比赛时间,为现场的战绩加分,也将使Pwn2Own与波特诺伊称之为“哗众取宠者”的头条新闻拉开距离。
由于研究人员携带了他们早些时候发现的零日漏洞,以及在比赛前创建的漏洞,媒体报道——包括Computerworld的报道——往往聚焦于黑客攻破浏览器所需的短时间。
谷歌还将再次承诺为Chrome漏洞支付2万美元,Portnoy说。
去年,谷歌表示会支付这笔钱第一个利用谷歌自身代码中的漏洞成功利用Chrome的研究人员。2011年,谷歌还表示,将向任何利用非chrome漏洞(比如Windows漏洞)破解浏览器沙箱的研究人员支付1万美元。
今年,谷歌将向任何利用谷歌独有缺陷开发Chrome的研究人员支付2万美元。“谷歌将向任何证明谷歌代码存在漏洞的研究人员每人支付2万美元,”波特诺伊说。
换句话说,如果六个不同的研究人员利用谷歌暴露的六套不同的漏洞入侵Chrome浏览器,这家搜索巨头将被处以12万美元的罚款。
波特诺伊所称的“部分”漏洞将为研究人员赚取1万美元。波特诺伊说:“部分Chrome黑客除了使用操作系统漏洞外,还使用了Chrome的漏洞。”
因为Chrome是“沙箱”——一种隔离恶意软件的反利用技术——黑客通常需要两次或两次以上的攻击。第一个是将攻击代码从沙箱中取出所必需的,第二个是真正利用Chrome漏洞并在机器上植入恶意软件所必需的。
谷歌支付的任何钱都将超过TippingPoint提供的三个现金奖励。
谷歌的钱可能是安全的:Chrome从来没有在Pwn2Own被利用.
波特诺伊证实,今年还没有其他浏览器制造商提出类似的报价。
TippingPoint今天发布了修改比赛规则在其网站上,并将发布挑战期间的新闻从一个特别节目Twitter帐户.
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于网络犯罪和黑客的信息在计算机世界的网络犯罪和黑客主题中心。
这个故事,“谷歌上升赌注为Chrome黑客在修补Pwn2Own”最初是由《计算机世界》 .