mboost-dp1

Google Inc.

Google betaler Pwnium 2-hacker $60.000 for at have fundet fejl i Chrome

- Via Chromium blog - , redigeret af Pernicious

Ved Googles Pwnium 2-konkurrence har en person under navnet Pinkie Pie formået at finde et sikkerhedshul i firmaets Chrome-browser der var så slem, at Google har udbetalt ham $60.000.

Pwnium 2 blev afholdt ved eventen Hack in the Box 2012 i Kuala Lumpur. Fejlen der var $60.000 værd, formåede at undslippe Chromes sandkasse-funktion, der er en vigtig del af browserens sikkerhedssystem.

Chris Evans, Google skrev:
This pwn relies on a WebKit Scalable Vector Graphics (SVG) compromise to exploit the renderer process and a second bug in the IPC layer to escape the Chrome sandbox. Since this exploit depends entirely on bugs within Chrome to achieve code execution, it qualifies for our highest award level as a “full Chrome exploit,” a $60,000 prize and free Chromebook.

Sikkerhedshullet blev rettet mindre end 10 timer efter at Pwnium 2 sluttede. Hackeren Pinkie Pie fandt også et sikkerhedshul til en værdi af $60.000 i den første Pwnium-konkurrence, der blev afholdt tilbage i marts.

Google vil offentliggøre detaljer sikkerhedshullet lidt senere, når de mener, folk har fået opdateret deres browser.





Gå til bund
Gravatar #1 - Cruiser
12. okt. 2012 06:46
Meget fedt lige at kunne møde op til sådan et event og få udbetalt en fin årsløn. Manden behøver jo aldrig arbejde hvis han bare finder en god grim bug hvert år XD
Gravatar #2 - dprocs
12. okt. 2012 07:06
#1

Jeg kunne forestille mig at han ikke bare er snublet over den, men rent faktisk har brugt lidt tid på det.

Og man får ikke særlig mange timer ved en sikkerheds-ekspert for det lille beløb...
Gravatar #3 - ISCS
12. okt. 2012 07:07
#1
Det var så, i følge nyheden, allerede tilbage i marts at han lavede de første 60. Så indtil videre 120K $ i år. Det må sige at være en ekstremt god aflønning, hvis han er amerikaner.

http://en.wikipedia.org/wiki/Household_income_in_the_United_States skrev:
According to the US Census Bureau persons with doctorates in the United States had an average income of roughly $81,400. The average for an advanced degree was $72,824 with men averaging $90,761 and women averaging $50,756 annually.


I øvrigt en interessant/skræmmende forskel på kønnene

Edit: #2
Selvfølgelig har han lagt arbejde i det. Men det er da stadig en virkelig god aflønning. 1/3 højere løn end gennemsnittet for doktorgrader, og så på 3/4 af året.
Gravatar #4 - dprocs
12. okt. 2012 07:29
#3

Ja, det er en god løn, især hvis man sammenligner med gennemsnittet for doktorgrader el...

Men anerkendte eksperter indenfor sikkerhed kan bare ikke rigtig sammenlignes med en gennemsnitlig person med en doktorgrad...

Jeg skal så ikke kunne sige om han rent faktisk er ekspert eller bare ekstremt heldig...
Gravatar #5 - snesman
12. okt. 2012 07:34

Cruiser (1) skrev:
Meget fedt lige at kunne møde op til sådan et event og få udbetalt en fin årsløn. Manden behøver jo aldrig arbejde hvis han bare finder en god grim bug hvert år XD


Jeg tror ellers godt han kan få fast arbejde indenfor sikkerhed, hvis han strammer sig an...



Gravatar #6 - ISCS
12. okt. 2012 07:39
#4
Point taken. Jeg har selvfølgelig taget udgangspunkt i at manden ikke har et 100K+$ job i sikkerhedsbranchen, ved siden af.
Hvis han allerede er en meget højtstående sikkerhedsekspert er situationen selvfølgelig en anden.

Men ville man så vælge at være anonym? I det tilfælde må det da være godt for forretning med sådan et par medieture.
Gravatar #7 - dprocs
12. okt. 2012 07:46
#6

Tja, medmindre det er hans fritids-projekt, og hans normale arbejdsplads ikke vil relateres til den slags(Chrome/Browser/Konkurrance etc.).

Eller at han ved at anerkende situationen, indirekte anerkender en lavere løn end han tilbyder sine faste kunder...

Det er dog kun den sidste jeg selv har oplevet...
Gravatar #8 - moulder666
12. okt. 2012 07:49
ISCS (6) skrev:
#4
Point taken. Jeg har selvfølgelig taget udgangspunkt i at manden ikke har et 100K+$ job i sikkerhedsbranchen, ved siden af.
Hvis han allerede er en meget højtstående sikkerhedsekspert er situationen selvfølgelig en anden.

Men ville man så vælge at være anonym? I det tilfælde må det da være godt for forretning med sådan et par medieture.


Well - der er nok bare lidt mere street cred i at hedde "Pinkie Pie" end at hedde John Jackson! Og hvis man har et it-relateret job, skal man såmænd NOK lige få slynget ind i samtalen, at "Hey gutter, jeg hackede forresten lige Google Chrome her ved Pwnium IGEN!"
Gravatar #9 - ISCS
12. okt. 2012 07:55
#8
Jeg læste bare at han gerne vil være anonym. Der er stor forskel på at sige det til gutterne, også komme i medierne på internationalt plan.

Det kan være min logik fejler.
Gravatar #10 - Valkar
12. okt. 2012 09:04
#8 & #9

Kunne jo også være at hans fritidsinteresse, som netop har kastet penge af sig, normalt ikke ligefrem er belønningsværdig... Kunne jo være at manden normalt hackede alt muligt andet, og derfor ikke er videre populær hos politiet, og at han derfor ønsker at være anonym... bare en tanke.
Gravatar #11 - moulder666
12. okt. 2012 09:23
Valkar (10) skrev:
#8 & #9

Kunne jo også være at hans fritidsinteresse, som netop har kastet penge af sig, normalt ikke ligefrem er belønningsværdig... Kunne jo være at manden normalt hackede alt muligt andet, og derfor ikke er videre populær hos politiet, og at han derfor ønsker at være anonym... bare en tanke.


Heh - det ville måske heller ikke altid give helt så meget street cred at prale med den slags, hvis man IKKE arbejdede med noget it-relateret.

Min mekaniker ville få bonuspoint i min verden, hvis han sagde det. Min bankrådgiver - not so much! :-)
Gravatar #12 - kasperd
12. okt. 2012 09:47
dprocs (4) skrev:
Jeg skal så ikke kunne sige om han rent faktisk er ekspert eller bare ekstremt heldig...
Nok lidt af hvert. Ingen tvil om at manden er ekspert på nogle områder. De evner der skal til for at udnytte den slags sikkerhedshuller er ikke helt de samme, som skal til for at kunne arbejde som IT-sikkerhedskonsulent. Men der er et stort overlap.

Men bare fordi man har evnerne er man ikke garanteret at vinde mange penge i sådan en konkurrence. Det kræver jo at der faktisk er et sikkerhedshul der hvor man kigger. Man kan gennemsøge masser af kode uden at finde huller fordi der bare ikke er huller i den kode.

Og hvis man endeligt finder et hul, så er der jo ingen garanti for at det er et af dem til de helst store penge.

Så der kommer både held og evner ind i billedet. Men jo mere tid man bruger på at lede efter huller, des mindre held skal der til for at finde dem.

Man kan sagtens finde sikkerhedshuller ved et tilfælde, det har jeg selv tit gjort. Desværre har de huller jeg har fundet ved et tilfælde ikke været fra producenter, der udbetaler dusør, men derimod hos den slags firmaer, der truer med sagsanlæg fordi man tilfældigvis opdager en fejl i deres software.
Gravatar #13 - bobolobo
12. okt. 2012 11:59
Selve debatten omkring hvorvidt det er en god eller dårlig løn kan vi jo ikke tage når vi ikke ved hvor mange timer han har brugt?..

Han kunne have siddet som på fuldtid og ledt, men kunne også være han bare brugte et par aftner hist og her.

Gravatar #14 - pvt.hudson
12. okt. 2012 13:17
Hah! Jeg har luret den..en af google chrome udviklerne laver skjulte fejl, fortæller en ven præcis hvordan de skal udnyttes og giver ham info om koden, og så deler de profitten ;)
Gravatar #15 - El_Coyote
12. okt. 2012 17:19
Det lyder lidt som om at det bedre kunne betale sig for google at ansætte ham permanent.
Gravatar #16 - Jim Night
12. okt. 2012 20:39
El_Coyote (15) skrev:
Det lyder lidt som om at det bedre kunne betale sig for google at ansætte ham permanent.


Nu kender jeg ikke Googles regler for konkurrencen, men vil en evt. ansættelse afholde ham fra at deltage i konkurrencen?
Gravatar #17 - Hun73r
12. okt. 2012 20:47
Det kunne Microsoft lærer noget af
Gravatar #18 - ShinglesMcRuff
14. okt. 2012 09:28
Små penge... Fejl i iOS giver op til 250.000$ på det sorte market.
Gravatar #19 - Dr_Mo
14. okt. 2012 13:54
Jim Night (16) skrev:
El_Coyote (15) skrev:
Det lyder lidt som om at det bedre kunne betale sig for google at ansætte ham permanent.


Nu kender jeg ikke Googles regler for konkurrencen, men vil en evt. ansættelse afholde ham fra at deltage i konkurrencen?


Nej, derfor er det ingen ansatte i Google der længere retter alvorlige sikkerhedsfejl de finder før pwnium, så de kan tjene ekstra cash.
Gravatar #20 - kasperd
14. okt. 2012 16:02
pvt.hudson (14) skrev:
en af google chrome udviklerne laver skjulte fejl
Mon ikke den kode bliver udsat for lige så grundige reviews som resten af Googles kode? I så fald vil man jo efter en fejl er fundet kunne undersøge hvem der skrev den fejlbehæftede kode og hvem der reviewede den.

Medarbejdere bliver selvfølgelig ikke hængt ud fordi de en enkelt gang begår en fejl. Men hvis man systematisk introducerer fejl som der efterfølgende udbetales dusør for, så vil det nok blive opdaget.
Gravatar #21 - stekkurms
14. okt. 2012 19:22
Hun73r (17) skrev:
Det kunne Microsoft lærer noget af
Det kunne de fleste IT virksomheder lære noget af. Der ligger en betydelig signal værdi i at udlove en sådan dusør uanset om det er nok til at man kan leve af det. Det er interessant at Google udbetaler så store dusører at en person tilsyneladende er i stand til at leve af det. Men det ville være langt mere interessant, hvis vi kunne overbevise 20% af de mindre IT virksomheder om at de også skal udlove dusører, selvom de måske i mange tilfælde blot vil være på 500kr.

Jeg nævner ingen navne, for jeg har ikke noget overblik over hvilke virksomheder, der allerede har udlovet lignende dusører.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login