Google paga a quem descobrir falhas no Chrome

Prémio será entregue a quem encontrar e explorar falhas no browser, numa competição no Canadá. Quem conseguir o mesmo para outros browsers, recebe 15 mil dólares.

A Google vai pagar 20 mil dólares à primeira pessoa que encontrar uma falha no Chrome, durante a competição Pwn2Own de 2011.
O prémio é o maior alguma vez pago neste concurso, cuja quinta edição terá início durante a conferência CanSecWest, em Vancouver (Canadá), a 9 de Março.
No Pwn2Own deste ano, os investigadores vão explorar brechas em computadores com sistemas Windows 7 ou Mac OS X e tentarão furar a segurança dos browsers Internet Explorer, Firefox, Safari e Chrome.
Os primeiros a conseguir “hackear” o IE, Firefox e o Safari ganharão 15 mil dólares e a máquina utilizada na competição. Os prémios são 5000 dólares mais elevados do que no último concurso, e três vezes maiores que os de 2009.
“Aumentámos a aposta. Desta vez, o total destinado aos prémios aumentou para 125 mil dólares”, disse Aaron Portnoy, gestor da equipa de investigação em segurança da Tipping Point.
A empresa, que mais uma vez patrocina o concurso, divulgou as regras da competição na quarta-feira no seu blogue.
A novidade deste ano é a participação da Google. A empresa é a primeira criadora de browsers a colocar dinheiro no prémio. “Parabéns à equipa de segurança da Google por tomar a iniciativa de nos procurar”, disse Portnoy.

Regras diferentes
As regras para o Chrome são um pouco diferentes da dos outros browsers, porque ele é o único dos quatro a usar uma “sandbox” como forma de defesa. Uma “sandbox” isola os processos do sistema, prevenindo (ou, pelo menos, reduzindo sensivelmente) a possibilidade do malware se instalar numa aplicação – no caso, o Chrome – para controlar o computador.
Para explorar um programa com “sandbox”, como o Chrome, é preciso encontrar não uma, mas duas vulnerabilidades: fazer com que o código de ataque escape da “sandbox” e explorar uma falha (bug) no Chrome.
Outros programadores já seguiram os passos da Google para tentar fazer as suas aplicações mais seguras. No ano passado, por exemplo, a Adobe adicionou uma “sandbox” ao seu popular Reader.
Para ganhar os 20 mil dólares da Google no primeiro dia do Pwn2Own, o investigador deverá encontrar e explorar duas vulnerabilidades no código da Google. Apenas no segundo e no terceiro dias do concurso podem utilizar um bug que não seja do Chrome –  um bug do Windows, por exemplo – para quebrar a “sandbox”.
Um ataque bem sucedido no segundo ou no terceiro dia ainda renderá 20 mil dólares ao vencedor, mas apenas 10 mil virão da Google. A Tipping Point pagará o restante.

Confiança
A participação da Google no Pwn2Own deste ano pode ser um sinal da confiança que a empresa tem no seu browser. Embora o Chrome tenha sido alvo do Pwn2Own desde 2009, ninguém conseguiu enganar o browser e ganhar o prémio.
Os IE, Firefox e Safari já foram vítimas dos últimos concursos – às vezes, num embaraçosamente curto período de tempo. Em 2009, um investigador alemão que deu apenas o seu primeiro nome, Nils, conseguiu explorar os três browsers e arrecadar um total de 15 mil dólares, 5000 por cada hack.
Charlie Miller, o único a ganhar prémios no Pwn2Own em três anos consecutivos, não pensava participar este ano, mas o prémio de 20 mil dólares da Google chamou a sua atenção.
“O Pwn2Own oferece agora 20 mil por um ataque ao Chrome”, escreveu Miller no Twitter. “Deve ser difícil, ainda bem que o MacOS X não usa ‘sandbox’ no seu browser”.
Miller é uma autoridade em hacking de Mac – é co-autor do livro “The Mac Hacker’s Handbook”, com Dino Daí Zovi, vencedor do Pwn2Own de 2007 – e explorou o Safari nos últimos três anos. Como referiu, o Safari não usa “sandbox”.
A Tipping Point também vai organizar um torneio de hacking de telemóveis, na qual se tentará explorar brechas em smartphones com os sistemas iOS da Apple, Android, Windows Phone 7 e BlackBerry da RIM.
Os ataques bem sucedidos a smartphones serão recompensados com 15 mil dólares.
(Computerworld/IDG Now!)




Deixe um comentário

O seu email não será publicado