"Google verziekt browserveiligheid met hackerbeloning"
Uit onvrede over de voorwaarden van een hackerwedstrijd, is Google een eigen wedstrijd gestart waar het 1 miljoen dollar aan prijzengeld uitlooft. Die hoge beloning maakt het internet niet veiliger, sterker nog, het kan het tegenovergestelde bereiken. Dat zegt het Zero Day Initiative Team (ZDI). Het team organiseerde de Pwn2Own wedstrijd die volgende week tijdens de CanSecWest Conferentie plaatsvindt. Tijdens deze competitie zullen hackers en beveiligingsonderzoekers proberen om de vier populairste browsers te hacken. Oorspronkelijk zou Google een deel van het prijzengeld sponsoren, maar daar zag het toch vanaf, omdat de zoekgigant het niet eens met de voorwaarden is.
Pwn2Own stelt het niet verplicht dat hackers de aanvalscode onthullen waardoor ze uit de sandbox van bijvoorbeeld Google Chrome weten te ontsnappen. De onderzoekers moeten het demonstreren, maar mogen de details geheimhouden. "De reden dat we dit niet doen, is om via de wedstrijd zoveel mogelijk lekken te verhelpen. Dit klinkt tegenstrijdig, maar dat is het niet. Als Pwn2Own vereist dat de sandbox ontsnapping niet wordt gemeld, denken we dat geen enkele deelnemer zich op Chrome richt, wat betekent dat lekken waardoor willekeurige code is uit te voeren, niet via de wedstrijd worden verholpen", laat ZDI weten.
Hoofdprijs
Google wil zowel de lekken waarmee willekeurige code is uit te voeren, als de code waardoor uit de sandbox wordt ontsnapt van de onderzoekers krijgen. De zoekgigant besloot daarom een eigen wedstrijd te starten, genaamd Pwnium, met een prijzengeld van 1 miljoen dollar. De hoofdprijs is 60.000 dollar voor iemand die uit de sandbox breekt en willekeurige code uitvoert.
Volgens het ZDI Team is een sandbox-escape exploit op de open markt veel meer waard dan de 60.000 dollar die Google betaalt. Daarnaast zou zo'n exploit binnen bedrijven voor veel meer dan 60.000 dollar aan schade kunnen veroorzaken.
"Daarom wordt zo'n exploit nooit tijdens CanSecWest gedemonstreerd. In plaats daarvan zal niemand de Google hoofdprijs claimen en is de conclusie van Pwnium dat Google Chrome niet te hacken is. Zelfs als er 1 miljoen dollar wordt uitgeloofd. Dat is zonde, want dit soort sensationalisme zal de veiligheid van browsers niet verder brengen. Sterker nog, het kan ons een aantal jaren terugzetten", aldus ZDI.
Ik vind het logisch dat je verwacht dat een hacker vertelt hoe hij iets gedaan heeft als je de organisatie sponsort. Ik zou ook geen geld willen betalen om aan te laten tonen dat iets kraakbaar is, maar dat je vervolgens niet hoort hoe dat dan is gedaan. Dan ben je je geld kwijt en je kunt het probleem niet oplossen.
Volgend jaar is er weer een wedstrijd, waarbij je weer sponsort. Dan komt er een vriendje van de hacker van dit jaar en gebruikt dezelfde truuc en gaat weer met het geld er vandoor.
Peter
Lees het originele artikel van ZDI even. Het gaat erom dat om Chrome te exploiten, je ook uit de sandbox moet breken. Volgens ZDI is een manier om uit de sandbox te breken veel meer waard dan het prijzengeld. Daarom hebben ze expliciet opgenomen dat alleen de browser bug openbaar hoeft te worden gemaakt. Anders zou niemand er aan beginnen om Chrome aan te vallen tijdens deze wedstrijd. Google kan dus prima de bug oplossen, maar hoe de sandbox is omzeilt hoeft niet te worden uitgelegd (alleen te worden gedemonstreerd).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
