Основываясь на успехе в предыдущие годы, Google собирается предложить более чем $2,7 млн в качестве призового фонда в своем следующем хакерском соревновании Pwnium, которое пройдет в этом году в Ванкувере в рамках конференции CanSecWest. Компания запустила этот конкурс параллельно со старым Pwn2Own, проводящимся на той же конференции, но отличающимся по правилам. В этом году Google планирует натравить участников на операционную систему Chrome OS, работающую на ноутбуках Chromebook с процессорами ARM- и Intel-архитектуры.

Pwnium проводится Google в качестве ответа на Pwn2Own, хорошо известный хакерский конкурс, который привлекал несколько лучших исследователей отрасли в течение ряда лет, включая Дино Даи Зови, Чарли Миллера, Чаоки Бекрара, группу VUPEN и многих других. На Pwn2Own от участников традиционно не требовалось указывать полную информацию по эксплойту, надо было лишь описывать уязвимость и крэш-данные. На Pwnium требуется полное описание эксплойтов, что и отталкивало некоторых потенциальных участников, в том числе группу VUPEN.

Но деньги, которые Google предлагает за новые способы взлома Chrome OS, значительно превышают то, что можно получить на Pwn2Own или на любом другом конкурсе сравнимого масштаба, что в прошлые годы и привлекало небольшой, но элитный контингент конкурсантов. Компания обещает призы в $150 тыс. плюс кое-какие бонусы, выплачиваемые отдельно, за особенно инновационные или серьезные по последствиям эксплойты.

«В этом году мы также рассмотрим выплату значительных бонусов за демонстрацию особенно впечатляющих или удивительных эксплойтов. Это может быть поражение kASLR, повреждение памяти 64-битного процесса браузера или эксплойт ядра непосредственно из процесса рендерера, — рассказал инженер-безопасник Google Жорж Луканжели Обе. — Прошедшие конкурсы Pwnium были сфокусированы на Intel-устройствах с Chrome OS, но в этом году участники могут выбирать между HP Chromebook 11 (Wi-Fi) на основе ARM-архитектуры и Acer C720 Chromebook (2GB Wi-Fi), который основан на микроархитектуре Intel Haswell. Атака должна быть продемонстрирована в действии против одного из этих устройств, с актуальной стабильной версии Chrome OS».

Правила конкурса Pwnium диктуют, что участникам придется заранее зарегистрировать и передать полные сведения об эксплойте вместе со сведениями по каждой отдельной уязвимости, использованной в атаке. Ни одна из используемых ошибок не должна быть известной до того, а эксплойты должны запускаться с HTTPS Google App Engine URL.

«В атаке можно применять любую программу, устанавливаемую по умолчанию. Для тех, у кого нет доступа к физическому устройству, руководство разработчика Chromium OS поможет установить и запустить виртуальную машину, но учитывайте, что виртуальная среда может отличаться от физических устройств», — сказал Обе.

Категории: Уязвимости, Хакеры