Idén is lesz böngészőtörő verseny
A kanadai Pwn2Own hackerversenyen csinos összeget nyerhet az, aki a rendelkezésre álló fél óra alatt fel tudja törni a programok legfrissebb verzióját.
A tavaly óta a Hewlett-Packard kötelékébe tartozó hálózatbiztonsági cég, a TippingPoint az idén is meghirdeti a már hagyományosnak mondható Pwn2Own hackerversenyt, melyen komolyabb pénzdíjat lehet nyerni a négy nagy webböngésző és négy friss okostelefon feltörésével. A verseny ezúttal is a kanadai Vancouverben – március elején – megrendezésre kerülő CanSecWest IT-biztonsági konferencia programjába illeszkedik.
A versenyzőknek a helyszínen 30 perce van arra, hogy komoly hibát találjanak a célpontokban. A TippingPont a sikeres támadásokat dokumentálja, és a leírásokat megküldi a program vagy a készülék gyártójának; a részleteket mindaddig nem publikálják, amíg a rést az érintett vállalatok be nem tömik. Tavaly az Internet Explorer 8-at, a Firefox 3.6-ot és a Safari 4-et – illetve az iPhone 3GS-t – is sikerült feltörni a rendelkezésre álló rövid idő alatt, a böngészők közül egyedül a Google Chrome-ba tört bele a hackerek bicskája.
A Google ezen felbátorodva az idén különdíjjal jutalmazza a plugineket és az egyes lapokat azóta már sandboxban – egy korlátozott jogosultságokat biztosító környezetben – futtató browserében esetlegesen talált súlyos sebezhetőséget. A vállalat 20 ezer dollárt és egy Chrome OS-t futtató CR-48 referencialaptopot ajánlott fel annak a hackernek, aki a helyszínen feltöri a böngészőt úgy, hogy a cég által írt kódban hibát talál. Ha senki nem jár sikerrel, másnap 10 ezer dollárt nyerhet az, aki harmadik féltől származó kód hibáján keresztül tudja megkerülni a sandboxot.
Az IE, a Firefox és a Safari feltörői egyébként szintén egy notebookot és 15 ezer dollárt nyernek – e díjakat a TippingPoint adja. Az okostelefonok közül az idén a következő célpontokat választották ki a szervezők: Dell Venue Pro (Windows 7), iPhone 4 (iOS), BlackBerry Torch 9800 (BlackBerry 6 OS), Nexus S (Android).
A súlyos sebezhetőségekért fizetett pénzdíjak az iparágban megszokottnak mondhatók, egyes gyártók külön ösztönzőprogrammal bátorítják a hackereket a hibakeresésre. A Google például a Chrome-ban talált kritikus hibák felfedezőinek 3133,7 dollárt fizet, de hasonló összeggel jutalmazza a Mozilla is azokat, akik addig ismeretlen, veszélyes Firefox-bugot jelentenek.