谷歌在周一退出了下个月Pwn2Own黑客大赛的赞助,取而代之的是,如果研究人员能够利用Chrome,谷歌将提供多达100万美元的赞助。
该公司将在Pwn2Own举行的CanSecWest安全会议上发起自己的漏洞挑战,因为它反对比赛组织者和主要赞助商惠普TippingPoint的漏洞赏金程序“零日倡议”(Zero Day Initiative, ZDI)对规则的改变。
Chrome安全团队的两名成员克里斯·埃文斯(Chris Evans)和贾斯汀·舒赫(Justin Schuh)在周一的一篇文章中表示:“当我们发现参赛者无需向供应商透露全部漏洞甚至所有漏洞就可以进入Pwn2Own时,我们决定撤销赞助。铬的博客.“往年都有完整的漏洞被移交,但在今年的竞赛中,这显然不是一个要求,这令人担忧。”
Pwn2Own全球的规则不要说在比赛结束时不要把所有的漏洞或漏洞都交给供应商,而是说1月23日推ZDI说:“澄清一下,如果一支队伍在Pwn2Own 2012上展示了0day,但最终没有获胜,vuln(弱点)仍然是他们的,不会被报告。”
在此之前,谷歌承诺支付2万美元对任何利用浏览器缺陷开发Chrome的研究人员,以及1万美元的“部分”利用,依赖于Chrome的漏洞和操作系统的漏洞。
因为Chrome是“沙箱”——一种隔离恶意软件的防攻击技术——对浏览器的攻击通常需要两次或两次以上的攻击。第一个是将攻击代码从沙箱中取出所必需的,第二个是真正利用Chrome漏洞并在机器上植入恶意软件所必需的。
但谷歌放弃了2万美元的上限计划,并将在CanSecWest投入高达100万美元的资金,Evans和Schuh说。
“我们加大了赌注,”工程师们说。
谷歌将支付6万美元,相当于Pwn2Own在为期三天的比赛中获得的最高奖金。谷歌将支付6万美元,作为他们所谓的“完整的Chrome漏洞”——仅利用Chrome本身的漏洞就成功侵入Windows 7上的Chrome。
利用Chrome内部的一个漏洞和一个或多个其他漏洞(可能是Windows漏洞)的部分漏洞就能让研究人员赚到4万美元。最后,谷歌将支付2万美元作为“安慰”,即在没有使用浏览器本身任何漏洞的情况下入侵Chrome。
谷歌对这一挑战的唯一限制是总赔付上限为100万美元。埃文斯和舒赫说:“我们将根据先到先得的原则,为每个类别发放多个奖励,最高不超过100万美元。”
为了获得更大的回报,谷歌将要求研究人员提供更多的信息,他们必须证明这些漏洞是可以可靠利用的,具有关键的影响和真正的“零日”,谷歌不知道,也没有与任何第三方共享。使用的漏洞和完整的漏洞都必须移交给谷歌,这样它就可以像Evans和Schuh所说的那样,“增强我们的缓解、自动化测试和沙箱化”。
谷歌的规则也有效地消除了在Pwn2Own中很少使用的Chrome漏洞。“参赛者的exploit必须提交到谷歌,并由谷歌进行评判,然后才能提交到其他任何地方,”Evans和Schuh说。
虽然周一晚些时候还没有联系到惠普TippingPoint就谷歌离开Pwn2Own发表评论,但从Twitter上的交流来看,谷歌的分离似乎是友好的。
“很高兴看到经过5年的Pwn2Own供应商终于站出来,并为vuln[erabilities]提供大美元,”他说亚伦Portnoy他是TippingPoint安全研究小组的负责人,也是Pwn2Own的组织者。
TippingPoint和谷歌的目标不同——前者寻找可以添加到其入侵防御系统设备上的漏洞,后者则希望利用它可以检查的漏洞——似乎是后者决定退出Pwn2Own的原因。
“我们想要研究完整的端到端漏洞,不仅是漏洞,还有技术,”他说埃文斯也在推特上.
谷歌默默地承认,它在pwn2own之前提供的资金——去年为2万美元,2010年为1万美元——还不足以撼动研究树中的Chrome漏洞和漏洞。
Evans和Schuh在周一的博客文章中说:“虽然我们为Chrome在过去的竞争中领先的记录感到自豪,但事实是,没有受到攻击意味着它更难学习和改进。”
Chrome在Pwn2Own的记录令人印象深刻:没有研究人员因为在比赛中使用谷歌的浏览器而获得奖金。苹果(Apple)的Safari、微软(Microsoft)的Internet Explorer和Mozilla的火狐(Firefox)都曾被黑客攻击过一次或多次。
今年这种情况可能会发生变化。
法国安全公司Vupen去年在Pwn2Own上因开发Safari浏览器而赚了1.5万美元,该公司计划在CanSecWest至少推出一个Chrome零日。上周,Vupen的首席执行官兼研究主管Chaouki Bekar表示,他的公司的一个团队将在Pwn2Own;早些时候,他声称Vupen不仅对Chrome,而且对Firefox、IE和Safari都有零日服务。
Vupen出现在谷歌CanSecWest餐厅的餐桌上可能会有些尴尬:去年5月,这家法国公司曾吹嘘自己做到了找到了入侵Chrome的方法绕过浏览器的沙箱和Windows 7自己的反利用技术。
谷歌无法证实该声明,因为Vupen没有向供应商报告缺陷。
Evans和Schuh承诺,任何由中奖者泄露的非chrome代码漏洞都将被移交给相应的供应商。
CanSecWest、Pwn2Own和谷歌的开发奖励项目将于3月7日至9日在不列颠哥伦比亚省温哥华举行。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,或赞同格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章“谷歌在Chrome开发奖励上投入100万美元”最初是由《计算机世界》 .