Компания Google объявила (http://blog.chromium.org/2013/01/show-off-your-security-skil...) об увеличении призового фонда соревнований по взлому браузера Chrome и операционной системы Chrome OS до 3.14159 млн долларов (цифра соответствует начальной последовательности числи Пи). Параллельно с конкурсом Pwn2Own, который состоится (http://dvlabs.tippingpoint.com/blog/2013/01/17/pwn2own-2013) 6-8 марта в рамках конференции CanSecWest в Ванкувере, компания Google дополнительно проведёт собственное мероприятие Pwnium 3. В Pwn2Own акцент будет сделан на взломе Chrome, а Pwnium 3 будет сфокусирован на Chrome OS.

За демонстрацию взлома браузера Chrome, запущенного в Windows 7, в рамках соревнования Pwn2Own предусмотрено вознаграждение 100 тыс. долларов. За взлом браузера из состава Chrome OS или эксплуатации уязвимости на уровне системы  Chrome OS, при изначальной работе в гостевом режиме и активации эксплоита через Web, будет выплачено 110 тыс. долларов. Если атакующему удастся сохранить свои данные между перезагрузками в гостевом режиме после атаки через web, то размер премии будет увеличен до 150 тыс. долларов.

Атака должна быть продемонстрирована для базовой модели Samsung Series 5 550 Chromebook, на которой установлена самая свежая стабильная версия Chrome OS.  В процессе атаки могут быть использованы любые компоненты платформы, в том числе ядро Linux и системные библиотеки. Кроме непосредственной демонстрации рабочего эксплоита требуется предоставить детальный отчёт о методах его работы и задействованных уязвимостях. На усмотрение компании Google, вознаграждение может быть выплачено и за частично работающие эксплоиты, демонстрирующие отдельные направления возможной атаки.

В прошлом году призовой фонд соревнования составил (http://www.opennet.me/opennews/art.shtml?num=33217) 1 млн долларов, а размер вознаграждения за каждый взлом - 60 тыс долларов. В итоге, на соревнованиях было продемонстрировано (http://www.opennet.me/opennews/art.shtml?num=33301) два успешных взлома самой свежей версии Chrome, не содержащей известных проблем безопасности. Осенью в рамках соревнования Pwnium  также была продемонстрирована (http://www.opennet.me/opennews/art.shtml?num=35051) успешная техника атаки на Chrome.

URL: http://blog.chromium.org/2013/01/show-off-your-security-skil...
Новость: http://www.opennet.me/opennews/art.shtml?num=35964

• Компания Google выделила 3 млн долларов на выплату вознаграж...,Assembler, 12:22 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,Kookle, 12:42 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,rshadow, 13:39 , 30-Янв-13
    • Компания Google выделила 3 млн долларов на выплату вознаграж...,Аноним, 14:12 , 31-Янв-13
• Компания Google выделила 3 млн долларов на выплату вознаграж...,Аноним, 13:41 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,Аноним, 14:02 , 30-Янв-13
    • Компания Google выделила 3 млн долларов на выплату вознаграж...,Аноним, 17:04 , 30-Янв-13
      • Компания Google выделила 3 млн долларов на выплату вознаграж...,тоже Аноним, 18:45 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,hakushka, 14:15 , 30-Янв-13
• Компания Google выделила 3 млн долларов на выплату вознаграж...,ua9oas, 14:43 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,Аноним, 16:28 , 30-Янв-13
    • Компания Google выделила 3 млн долларов на выплату вознаграж...,тоже Аноним, 18:53 , 30-Янв-13
      • Компания Google выделила 3 млн долларов на выплату вознаграж...,kurokaze, 21:41 , 30-Янв-13
        • Компания Google выделила 3 млн долларов на выплату вознаграж...,тоже Аноним, 22:13 , 30-Янв-13
          • Компания Google выделила 3 млн долларов на выплату вознаграж...,kurokaze, 23:14 , 30-Янв-13
      • Компания Google выделила 3 млн долларов на выплату вознаграж...,Michael Shigorin, 03:06 , 31-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,тоже Аноним, 18:52 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,Аноним, 18:45 , 30-Янв-13
    • Компания Google выделила 3 млн долларов на выплату вознаграж...,шестиклассник, 17:06 , 31-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,Sinot, 19:38 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,kurokaze, 21:40 , 30-Янв-13
• Компания Google выделила 3 млн долларов на выплату вознаграж...,Аноним, 22:10 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,тоже Аноним, 22:16 , 30-Янв-13
    • Компания Google выделила 3 млн долларов на выплату вознаграж...,pavlinux, 22:47 , 30-Янв-13
  • Компания Google выделила 3 млн долларов на выплату вознаграж...,kurokaze, 23:16 , 30-Янв-13
• Анон, спасибо.,Sergey, 00:06 , 31-Янв-13
  • И да..,Sergey, 00:07 , 31-Янв-13

3 лимона за тестирование и исправление профессионалами, гораздо дешевле, чем собственными силами

Новичек не знает как работать. Профессионал знает как не работать.

Правильно, поэтому у проприетарных ОСей нет будущего.

Ковчег был опенсорс. Титаник проприетарщина.

Видео с ломиком принимают?

Ага. И в награду - 100 000 долларов нарисованных карандашом на туалетной бумаге. Какой эксплойт, такая и награда.

"липовые документы на это болото было сделать просто, а вот завязать 100 тысяч узелков…"© фильм Блеф 1976г

Большая часть бредовых комментариев в теме очень к месту - они показывают главную потенциальную уязвимость любого браузера и любой ОС.

В оригинале говорится о уязвимостях и их использовании. "Взлом" не более чем отсебятина переводчика.

много ли бывает таких хакеров, которым эксплуатировать уязвимости выгодней, чем за их выявление какие премии получать? (а может по тому и повысили размер премий, что такое может быть?)
Если в этот раз никто ничего там не взломает, то значит ли это, что уязвимостей там совсем не осталось? (либо осталось крайне мало? А тогда насколько больше их (и еще чего) может быть в том браузере "Хромиум", который стоит у меня? (в нем написано, что он " 6.0.472.63 (59945) Built on Debian 6.0, running on Debian 6.0.6 "(и рядом ниже там еще есть цифры- "2006-2010" (а почему он там так давно не обновлялся?))
А тогда сколько денег надо, чтобы и создавать и поддерживать этот браузер? Если его в этот раз никто не взломает, то тогда на что пойдут те премиальные деньги? (сможет ли это например сократить сроки выхода какого новаго его релиза?)

Если те премиальные кому выплатят, то тогда как этот браузер будет потом эти затраты окупать? (когда-то ролик, что "установите Хром"- его много крутили на центральном по тв. Это тоже очень дорого. Сейчас я этой рекламы не вижу, но в сети ее полно).

>Считай деньги в своем кармане. Не надо заглядывать в чужие. Это неприлично.

Вот не заглядываем уже лет 20, как завещал великий "Огонек" и прочие "Литературки", результат на лице. Может надо наоборот - как раньше у нас было и как на Западе все время - заглядывать, с преминением всех мыслимых средств да почаще?

> Надо не заглядывать, а поменьше тратить безлимитное личное время на форумах, а
> побольше вкалывать, как на Западе все время - может, тогда денег
> в собственных карманах прибавится, а революционных идеек поубавится?

Работаю, получаю зарплату. Подрабатываю, получаю прибавку. Деньги в карманах водятся, не жалуюсь. Работать больше физически не получится - голова к вечеру не варит совершенно.
С лояльностью все равно проблемы. Не подскажете, что делать?

> С лояльностью все равно проблемы. Не подскажете, что делать?

Осваивай управление трактором

Если цель - деградация, то можно просто начать пить. Но мне такая цель представляется малополезной.

ты так говоришь "пить", будто это что то плохое
человеку надо 2-3л в сутки

> Не подскажете, что делать?

Нашли кого спрашивать -- это же постоянно прыгающий с крыши ашана micro-рас, красноглазие которого никак не прострётся дальше доширака.  Такой бредогенератор на шелле занимает пару экранов от силы, с Элизой и то советоваться смысла больше.

> Ты не поверишь - в 2008м оборот в сфере киберпреступлений превысил оборот наркобизнеса и торговли оружием.

И ни один нормальный человек не поверит. Это не факты, а пропаганда. Как бы оправдывающая усиление контроля над интернетом.
В реальности же достоверной статистики по "обороту в сфере киберпреступлений" ни у кого нет, поэтому вместо этого оборота суммируют цифры убытков, нарисованные пострадавшими. То есть взятые с потолка и с запасом.

Хром там такой древний, потому, что стабильный выпуск. В-основном для критичных пакетов в нём выпускают и багфиксы и дырки закрывают, например - там есть firefox 3.5 с огромным уровнем наложенных патчей, заключающийся в закрытии дырок (бэкпортируют из официальных релизов), так что его сейчас использовать безопасно.

К тому же имеется официальный репозиторий mozilla.debian.net с последними версиями Firefox.

А вот на хром все дружно забили, видимо потому, что из него значительно сложнее бэкпортировать патчи, да и внутренних изменений в нём очень уж много. К тому же есть подозрение, что он в Stable мпло кому нужен.

Если хотите последние версии браузеров и прочего софта - используйте Debian Testing, про репозиторий для FF в стейбле я уже упоминал. Ну а такой древний хром использовать совсем не рекомендуется.

Конкретно "хром" на дебиан можно поставить из репозитория гугла, а с хромиумом - да, всё так.

Уж не знаю с чего начать.

>много ли бывает таких хакеров <...>

Много, но достаточно одного признавшегося и остальные идут лесом (касательно GoogleChrome).

>Если в этот раз никто ничего там не взломает, то значит ли это, что уязвимостей там совсем не осталось?

Конечно не значит. Уязвимости и спустя десять лет найти могут (не вспомню реальный пример, но была тут такая новость).

>А тогда насколько больше их (и еще чего) может быть в том браузере "Хромиум", который стоит у меня? <...> (а почему он там так давно не обновлялся?))

Все вопросы к дистрибутиву. Сборку в ручную никто не запрещал, а GoogleChrome (не Chromium) свои репы имеет для Демьяна, и регулярно их обновляет.

>Что-то про деньги

Google зарабатывает рекламой, много зарабатывает рекламой (фактически основная статья дохода). Чем больше возможности ее показать, тем выше доход. Конкретнее вам разве что сам Google скажет.

> много ли бывает таких хакеров, которым эксплуатировать уязвимости выгодней, чем за их
> выявление какие премии получать? (а может по тому и повысили размер
> премий, что такое может быть?)

У ЗОГ-а, АМАН-а и ШАБАК-а все равно денег больше

гагага,
теоретически чел который имеет мозг прокачаный до способности
нагнуть гугловые поделия навярняка в деньгах нужды нестерпимой
не имеет и так глупо палиться в общем тоже не особо пожелает..
кто-то канешн не поймёт но это как объяснять реднекам почему
перельман не лох, короче бесполезно какбе..

Я нашел лишнее слово в этом наборе!

> Я нашел лишнее слово в этом наборе!

Это был Митрофаныч CAPSLOCKLESS Edition

> гагага,
> теоретически чел который имеет мозг прокачаный до способности
> нагнуть гугловые поделия навярняка в деньгах нужды нестерпимой
> не имеет и так глупо палиться в общем тоже не особо пожелает..

а можыдь "кровавый АМАН" мало платит? халтурка то и не помешает

>  кто-то канешн не поймёт но это как объяснять реднекам почему
>  перельман не лох, короче бесполезно какбе..

реднекам пох на петрося^W перельмана

Спасибо, Анон сегодня насмешил. Каменты были смешнее всего. И да, действительно маловатые премии за 0-day уязвимости, да еще и в хроме. Если дырка годная (прощаю вас за ваши грязные мысли), то можно такого малваря наставить просто прогнав купленный трафик через эксплойтный урл. А это малваре - это тебе и ботнетик и рекламку скликивать, и накрутки и псевдотрафик - который можно обратно продать. Короче детский сад. Надо давать мульёна 3 баксов минимум - входной порог, чтобы привлечь хотя бы внимание реальных уберкодеров.

Имелось ввиду в одно лицо за один взлом, а не в качестве фонда.