18-årig opfinder superkondensator med høj energitæthedFor dårlig support ved NemIDAnonymous lukker net på Guantanamo BayGoogle Checkout lukkesRegeringen vil udbrede NemID til hele EUNASA starter forsøg med 3D printet madSAP ansætter autisterSvensk anklagemyndighed anklager domæneregistrator for at krænke ophavsretslovenIntel lancerer udviklingsværktøj til Android
Final Fantasy XIV: A Realm Reborn får fastsat udgivelsesdatoWindows 8?
12. okt. 2012 08:29Ved Googles Pwnium 2-konkurrence har en person under navnet Pinkie Pie formået at finde et sikkerhedshul i firmaets Chrome-browser der var så slem, at Google har udbetalt ham $60.000.
Pwnium 2 blev afholdt ved eventen Hack in the Box 2012 i Kuala Lumpur. Fejlen der var $60.000 værd, formåede at undslippe Chromes sandkasse-funktion, der er en vigtig del af browserens sikkerhedssystem.
This pwn relies on a WebKit Scalable Vector Graphics (SVG) compromise to exploit the renderer process and a second bug in the IPC layer to escape the Chrome sandbox. Since this exploit depends entirely on bugs within Chrome to achieve code execution, it qualifies for our highest award level as a “full Chrome exploit,” a $60,000 prize and free Chromebook.Chris Evans, Google
Sikkerhedshullet blev rettet mindre end 10 timer efter at Pwnium 2 sluttede. Hackeren Pinkie Pie fandt også et sikkerhedshul til en værdi af $60.000 i den første Pwnium-konkurrence, der blev afholdt tilbage i marts.
Google vil offentliggøre detaljer sikkerhedshullet lidt senere, når de mener, folk har fået opdateret deres browser.
12. okt. 2012 08:46
Meget fedt lige at kunne møde op til sådan et event og få udbetalt en fin årsløn. Manden behøver jo aldrig arbejde hvis han bare finder en god grim bug hvert år XD
12. okt. 2012 09:06
#1
Jeg kunne forestille mig at han ikke bare er snublet over den, men rent faktisk har brugt lidt tid på det.
Og man får ikke særlig mange timer ved en sikkerheds-ekspert for det lille beløb...
12. okt. 2012 09:07
#1
Det var så, i følge nyheden, allerede tilbage i marts at han lavede de første 60. Så indtil videre 120K $ i år. Det må sige at være en ekstremt god aflønning, hvis han er amerikaner.
According to the US Census Bureau persons with doctorates in the United States had an average income of roughly $81,400. The average for an advanced degree was $72,824 with men averaging $90,761 and women averaging $50,756 annually.Kilde
I øvrigt en interessant/skræmmende forskel på kønnene
Edit: #2
Selvfølgelig har han lagt arbejde i det. Men det er da stadig en virkelig god aflønning. 1/3 højere løn end gennemsnittet for doktorgrader, og så på 3/4 af året.
12. okt. 2012 09:29
#3
Ja, det er en god løn, især hvis man sammenligner med gennemsnittet for doktorgrader el...
Men anerkendte eksperter indenfor sikkerhed kan bare ikke rigtig sammenlignes med en gennemsnitlig person med en doktorgrad...
Jeg skal så ikke kunne sige om han rent faktisk er ekspert eller bare ekstremt heldig...
12. okt. 2012 09:34
Meget fedt lige at kunne møde op til sådan et event og få udbetalt en fin årsløn. Manden behøver jo aldrig arbejde hvis han bare finder en god grim bug hvert år XDCruiser (#1)
Jeg tror ellers godt han kan få fast arbejde indenfor sikkerhed, hvis han strammer sig an...
"There's no bigger sucker than a gullible marketer convinced he's missing a trend."
12. okt. 2012 09:39
#4
Point taken. Jeg har selvfølgelig taget udgangspunkt i at manden ikke har et 100K+$ job i sikkerhedsbranchen, ved siden af.
Hvis han allerede er en meget højtstående sikkerhedsekspert er situationen selvfølgelig en anden.
Men ville man så vælge at være anonym? I det tilfælde må det da være godt for forretning med sådan et par medieture.
12. okt. 2012 09:46
#6
Tja, medmindre det er hans fritids-projekt, og hans normale arbejdsplads ikke vil relateres til den slags(Chrome/Browser/Konkurrance etc.).
Eller at han ved at anerkende situationen, indirekte anerkender en lavere løn end han tilbyder sine faste kunder...
Det er dog kun den sidste jeg selv har oplevet...
12. okt. 2012 09:49
#4
Point taken. Jeg har selvfølgelig taget udgangspunkt i at manden ikke har et 100K+$ job i sikkerhedsbranchen, ved siden af.
Hvis han allerede er en meget højtstående sikkerhedsekspert er situationen selvfølgelig en anden.Men ville man så vælge at være anonym? I det tilfælde må det da være godt for forretning med sådan et par medieture.ISCS (#6)
Well - der er nok bare lidt mere street cred i at hedde "Pinkie Pie" end at hedde John Jackson! Og hvis man har et it-relateret job, skal man såmænd NOK lige få slynget ind i samtalen, at "Hey gutter, jeg hackede forresten lige Google Chrome her ved Pwnium IGEN!"
You, Sir, constitute the "anal" in car analogy!
12. okt. 2012 09:55
#8
Jeg læste bare at han gerne vil være anonym. Der er stor forskel på at sige det til gutterne, også komme i medierne på internationalt plan.
Det kan være min logik fejler.
12. okt. 2012 11:04
#8 & #9
Kunne jo også være at hans fritidsinteresse, som netop har kastet penge af sig, normalt ikke ligefrem er belønningsværdig... Kunne jo være at manden normalt hackede alt muligt andet, og derfor ikke er videre populær hos politiet, og at han derfor ønsker at være anonym... bare en tanke.
12. okt. 2012 11:23
#8 & #9
Kunne jo også være at hans fritidsinteresse, som netop har kastet penge af sig, normalt ikke ligefrem er belønningsværdig... Kunne jo være at manden normalt hackede alt muligt andet, og derfor ikke er videre populær hos politiet, og at han derfor ønsker at være anonym... bare en tanke.Valkar (#10)
Heh - det ville måske heller ikke altid give helt så meget street cred at prale med den slags, hvis man IKKE arbejdede med noget it-relateret.
Min mekaniker ville få bonuspoint i min verden, hvis han sagde det. Min bankrådgiver - not so much! :-)
You, Sir, constitute the "anal" in car analogy!
12. okt. 2012 11:47
Jeg skal så ikke kunne sige om han rent faktisk er ekspert eller bare ekstremt heldig...dprocs (#4)
Nok lidt af hvert. Ingen tvil om at manden er ekspert på nogle områder. De evner der skal til for at udnytte den slags sikkerhedshuller er ikke helt de samme, som skal til for at kunne arbejde som IT-sikkerhedskonsulent. Men der er et stort overlap.
Men bare fordi man har evnerne er man ikke garanteret at vinde mange penge i sådan en konkurrence. Det kræver jo at der faktisk er et sikkerhedshul der hvor man kigger. Man kan gennemsøge masser af kode uden at finde huller fordi der bare ikke er huller i den kode.
Og hvis man endeligt finder et hul, så er der jo ingen garanti for at det er et af dem til de helst store penge.
Så der kommer både held og evner ind i billedet. Men jo mere tid man bruger på at lede efter huller, des mindre held skal der til for at finde dem.
Man kan sagtens finde sikkerhedshuller ved et tilfælde, det har jeg selv tit gjort. Desværre har de huller jeg har fundet ved et tilfælde ikke været fra producenter, der udbetaler dusør, men derimod hos den slags firmaer, der truer med sagsanlæg fordi man tilfældigvis opdager en fejl i deres software.
The Internet is full, please try again later.
12. okt. 2012 13:59
Selve debatten omkring hvorvidt det er en god eller dårlig løn kan vi jo ikke tage når vi ikke ved hvor mange timer han har brugt?..
Han kunne have siddet som på fuldtid og ledt, men kunne også være han bare brugte et par aftner hist og her.
12. okt. 2012 15:17
Hah! Jeg har luret den..en af google chrome udviklerne laver skjulte fejl, fortæller en ven præcis hvordan de skal udnyttes og giver ham info om koden, og så deler de profitten ;)
12. okt. 2012 19:19
Det lyder lidt som om at det bedre kunne betale sig for google at ansætte ham permanent.
fnord!
12. okt. 2012 22:39
Det lyder lidt som om at det bedre kunne betale sig for google at ansætte ham permanent.El_Coyote (#15)
Nu kender jeg ikke Googles regler for konkurrencen, men vil en evt. ansættelse afholde ham fra at deltage i konkurrencen?
14. okt. 2012 11:28
Små penge... Fejl i iOS giver op til 250.000$ på det sorte market.
14. okt. 2012 15:54
Det lyder lidt som om at det bedre kunne betale sig for google at ansætte ham permanent.El_Coyote (#15)
Nu kender jeg ikke Googles regler for konkurrencen, men vil en evt. ansættelse afholde ham fra at deltage i konkurrencen?Jim Night (#16)
Nej, derfor er det ingen ansatte i Google der længere retter alvorlige sikkerhedsfejl de finder før pwnium, så de kan tjene ekstra cash.
14. okt. 2012 18:02
en af google chrome udviklerne laver skjulte fejlpvt.hudson (#14)
Mon ikke den kode bliver udsat for lige så grundige reviews som resten af Googles kode? I så fald vil man jo efter en fejl er fundet kunne undersøge hvem der skrev den fejlbehæftede kode og hvem der reviewede den.
Medarbejdere bliver selvfølgelig ikke hængt ud fordi de en enkelt gang begår en fejl. Men hvis man systematisk introducerer fejl som der efterfølgende udbetales dusør for, så vil det nok blive opdaget.
The Internet is full, please try again later.
14. okt. 2012 21:22
Det kunne Microsoft lærer noget afHun73r (#17)
Det kunne de fleste IT virksomheder lære noget af. Der ligger en betydelig signal værdi i at udlove en sådan dusør uanset om det er nok til at man kan leve af det. Det er interessant at Google udbetaler så store dusører at en person tilsyneladende er i stand til at leve af det. Men det ville være langt mere interessant, hvis vi kunne overbevise 20% af de mindre IT virksomheder om at de også skal udlove dusører, selvom de måske i mange tilfælde blot vil være på 500kr.
Jeg nævner ingen navne, for jeg har ikke noget overblik over hvilke virksomheder, der allerede har udlovet lignende dusører.
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
