"Google verziekt browserveiligheid met hackerbeloning"
Uit onvrede over de voorwaarden van een hackerwedstrijd, is Google een eigen wedstrijd gestart waar het 1 miljoen dollar aan prijzengeld uitlooft. Die hoge beloning maakt het internet niet veiliger, sterker nog, het kan het tegenovergestelde bereiken. Dat zegt het Zero Day Initiative Team (ZDI). Het team organiseerde de Pwn2Own wedstrijd die volgende week tijdens de CanSecWest Conferentie plaatsvindt. Tijdens deze competitie zullen hackers en beveiligingsonderzoekers proberen om de vier populairste browsers te hacken. Oorspronkelijk zou Google een deel van het prijzengeld sponsoren, maar daar zag het toch vanaf, omdat de zoekgigant het niet eens met de voorwaarden is.
Pwn2Own stelt het niet verplicht dat hackers de aanvalscode onthullen waardoor ze uit de sandbox van bijvoorbeeld Google Chrome weten te ontsnappen. De onderzoekers moeten het demonstreren, maar mogen de details geheimhouden. "De reden dat we dit niet doen, is om via de wedstrijd zoveel mogelijk lekken te verhelpen. Dit klinkt tegenstrijdig, maar dat is het niet. Als Pwn2Own vereist dat de sandbox ontsnapping niet wordt gemeld, denken we dat geen enkele deelnemer zich op Chrome richt, wat betekent dat lekken waardoor willekeurige code is uit te voeren, niet via de wedstrijd worden verholpen", laat ZDI weten.
Hoofdprijs
Google wil zowel de lekken waarmee willekeurige code is uit te voeren, als de code waardoor uit de sandbox wordt ontsnapt van de onderzoekers krijgen. De zoekgigant besloot daarom een eigen wedstrijd te starten, genaamd Pwnium, met een prijzengeld van 1 miljoen dollar. De hoofdprijs is 60.000 dollar voor iemand die uit de sandbox breekt en willekeurige code uitvoert.
Volgens het ZDI Team is een sandbox-escape exploit op de open markt veel meer waard dan de 60.000 dollar die Google betaalt. Daarnaast zou zo'n exploit binnen bedrijven voor veel meer dan 60.000 dollar aan schade kunnen veroorzaken.
"Daarom wordt zo'n exploit nooit tijdens CanSecWest gedemonstreerd. In plaats daarvan zal niemand de Google hoofdprijs claimen en is de conclusie van Pwnium dat Google Chrome niet te hacken is. Zelfs als er 1 miljoen dollar wordt uitgeloofd. Dat is zonde, want dit soort sensationalisme zal de veiligheid van browsers niet verder brengen. Sterker nog, het kan ons een aantal jaren terugzetten", aldus ZDI.
Ik vind het logisch dat je verwacht dat een hacker vertelt hoe hij iets gedaan heeft als je de organisatie sponsort. Ik zou ook geen geld willen betalen om aan te laten tonen dat iets kraakbaar is, maar dat je vervolgens niet hoort hoe dat dan is gedaan. Dan ben je je geld kwijt en je kunt het probleem niet oplossen.
Volgend jaar is er weer een wedstrijd, waarbij je weer sponsort. Dan komt er een vriendje van de hacker van dit jaar en gebruikt dezelfde truuc en gaat weer met het geld er vandoor.
Peter
Lees het originele artikel van ZDI even. Het gaat erom dat om Chrome te exploiten, je ook uit de sandbox moet breken. Volgens ZDI is een manier om uit de sandbox te breken veel meer waard dan het prijzengeld. Daarom hebben ze expliciet opgenomen dat alleen de browser bug openbaar hoeft te worden gemaakt. Anders zou niemand er aan beginnen om Chrome aan te vallen tijdens deze wedstrijd. Google kan dus prima de bug oplossen, maar hoe de sandbox is omzeilt hoeft niet te worden uitgelegd (alleen te worden gedemonstreerd).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.