Вернуться   RDot > Песочница/Sandbox > Мировые новости/World news

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 28.02.2012, 11:46   #1
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию Google предлагает вознаграждение за эксплойты $20000-$60000

Компания Google объявила о расширении программы вознаграждений Chromium Security Rewards. В частности, предлагается премия за 0-day эксплойты Chrome, Flash, Windows и др. За них будут платить от $20K до $60K.

Программа Chromium Security Rewards предполагает выплату вознаграждения за найденные уязвимости в Chrome. Похожая программа действует для всех продуктов Google, размер вознаграждения варьируется от $500 до $3133,70, в зависимости от серьёзности бага. С введением премии за эксплойты размер оплаты за обычные уязвимости остаётся прежним.

Поскольку сделать хороший работающий экплойт гораздо сложнее, чем просто найти подходящую уязвимость, то и вознаграждение будет в десятки раз выше. Специалисты Google говорят, что для них получение и анализ хорошего эксплойта, который работает от начала и до конца, — это отличный урок, он даёт возможность не только устранить баг, но тщательно изучить проблему и техники, которые могут использовать злоумышленники. В общем, это действительно ценная информация, которая поможет программистам Google улучшить механизм автоматического тестирования ПО, работу песочницы. Она стоит своих денег.

На выплату вознаграждения за эксплойты на конференции CanSecWest компания Google выделила призовой фонд 1 миллион долларов США, одновременно отказавшись от участия в конференции Pwn2Own, где по новым правилам участники не обязаны предоставлять эксплойты вендорам.

Опыт прошлых лет показывает, что призовой фонд может остаться нетронутым, или израсходуется по минимуму. Всё-таки новый 0-day эксплойт является редкостью. В этом случае, вероятно, действие предложения Google будет продлено.

Итак, вот конкретные категории эксплойтов и суммы вознаграждения, которые предлагает Google.
  • $60 000. Полный Chrome-эксплойт: контроль пользователя под Win7, используя только баги в самом Chrome.
  • $40 000. Частичный Chrome-эксплойт: контроль пользователя под Win7, используя как минимум один баг в самом Chrome, плюс другие баги. Например, можно взять баг в WebKit и баг в песочнице Windows.
  • $20 000. Утешительный приз за эксплойты с использованием багов Flash, Windows и др., если удалось через них получить доступ в систему. Здесь необязательно использовать специфические уязвимости Chrome, так что эксплойты могут работать в любом браузере. Эта награда не несёт никакой пользы для Google, но помогает сделать весь интернет безопаснее, то есть Google выполняет тут некую социальную миссию.
faza02 вне форума   Ответить с цитированием
Старый 28.02.2012, 12:37   #2
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

$3133,70 улыбнуло eleet ))
b3 вне форума   Ответить с цитированием
Старый 28.02.2012, 14:44   #3
AFoST
 
Аватар для AFoST
 
Регистрация: 01.08.2010
Сообщений: 79
Репутация: 43
По умолчанию

тут еще новость http://www.forbes.com/sites/andygree...me-in-contest/
AFoST вне форума   Ответить с цитированием
Старый 06.03.2012, 11:32   #4
snake
 
Регистрация: 05.07.2010
Сообщений: 173
Репутация: 12
По умолчанию

маловааато
snake вне форума   Ответить с цитированием
Старый 16.03.2012, 14:44   #5
Kaeso
 
Регистрация: 07.10.2011
Сообщений: 3
Репутация: 4
По умолчанию

Хитрые последнее время разработчики стали. Платят деньги за баги... небольшие кстати.
Используя эти уязвимости можно поднять гораздо больше, причем более чем одному человеку
__________________
SH#
Enema Project
Kaeso вне форума   Ответить с цитированием
Старый 16.03.2012, 15:31   #6
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 252
Репутация: 155
По умолчанию

Цитата:
Сообщение от Kaeso Посмотреть сообщение
Хитрые последнее время разработчики стали. Платят деньги за баги... небольшие кстати.
Используя эти уязвимости можно поднять гораздо больше, причем более чем одному человеку
http://www.chromium.org/Home/chromium-security/hall-of-fame

Sergey Glazunov -- общая сумма 79962
+ 60000 сейчас
=============
140к$

Думаешь ему надо было заморочится и заняться блеком? Мне кажется жизнь и так удалась, к этим 140 можешь прибавить перспективы и станет понятно, что "поднять гораздо больше" это УГ
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 16.03.2012, 18:19   #7
Kaeso
 
Регистрация: 07.10.2011
Сообщений: 3
Репутация: 4
По умолчанию

Если он занимается любимым делом и при этом имеет прибыль - это хорошо. Я вот не всегда делаю то что мне нравится, хотя по доходам не хуже товарища Глазунова буду.
Но суть не в этом, да и счастье... оно ведь не в деньгах или не только в них. Если человек занимается приятным для себя делом и еще имеет прибыль - это уже достижение.

А разработчики все-таки хитрюги
__________________
SH#
Enema Project
Kaeso вне форума   Ответить с цитированием
Старый 16.03.2012, 18:46   #8
overxor
 
Регистрация: 14.10.2011
Сообщений: 73
Репутация: 90
По умолчанию

Реверсить полтора - 3 месяца удовольствие сомнительное. Один сплойт может использовать 2-3 уязвимости в обход рандомизации и песочницы. Да и 60k за спойт примерно столько стоит сплойт под хром на черном рынке, может чуть больше.
А платить за баги - это нормальная практика по улучшению качества продукта.
__________________
[IO]
overxor вне форума   Ответить с цитированием
Старый 16.03.2012, 19:28   #9
Qwazar
 
Регистрация: 09.07.2010
Сообщений: 376
Репутация: 154
По умолчанию

В любом случае вайт подобоной доходности в долгосрочной перспективе выгоднее.
__________________
Мой блог: http://qwazar.ru/.
Qwazar вне форума   Ответить с цитированием
Старый 16.03.2012, 21:54   #10
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

засим наш выбор - подняться на блэке и уходить в вайт =)
12309 вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot