Google изменяет формат своей программы Pwnium, с успехом работавшей в рамках различных ИБ-конференций в течение пары лет. Отныне программа будет активна в течение всего года, а объем выплат за найденные уязвимости не ограничен.

Изначально Pwnium была создана как альтернатива хакерскому соревнованию Pwn2Own, проводящемуся каждую весну на конференции CanSecWest. В последние десять лет Pwn2Own исправно выявлял важные уязвимости и техники атак; согласно условиям этого конкурса, победители должны предать гласности детали уязвимости и условия, при которых она проявляется. Программа Pwnium имеет другие правила и требует от победителя разглашения всех подробностей уязвимости в Chromium, а также ее эксплойта.

Из-за этого различия в правилах часть ИБ-исследователей держалась в стороне от Pwnium, хотя Google и получила свою долю участников и критических уязвимостей. Теперь эта программа будет действовать на постоянной основе и без ограничения призового фонда. Все это сделано с целью предотвратить удержание исследователями информации о багах до очередного состязания, а также сделать программу более доступной.

«Если ИБ-исследователь обнаруживал цепочку багов, пригодных для показа на Pwnium, была высокая вероятность, что он будет ждать проведения конкурса, чтобы получить награду. Подобный сценарий никому не выгоден. Для нас это плохо, так как мы не сможем сразу приступить к устранению проблемы и наши пользователи будут подвергаться риску. Для самих исследователей такой вариант плох тем, что они рискуют сдублировать чей-то показ. Давая возможность исследователям подавать данные о багах круглый год, мы снижаем риск таких коллизий и расхода усилий на одни и те же баги», — отметил Тим Виллис (Tim Willis), руководитель отдела безопасности Chrome.

В последние несколько лет Google выделяла фиксированные суммы в призовой фонд Pwnium, но с вводом этих изменений верхняя планка будет убрана.

«Для тех, кому интересно, как это отразится на призовом фонде Pwnium, скажу так: предела он теперь не имеет», — подытожил Виллис.

Категории: Кибероборона, Уязвимости