Google mở rộng cuộc thi tìm kiếm lỗi bảo mật Pwnium, tăng quỹ giải thưởng lên 2 triệu USD

Google vừa cho biết họ đã quyết định nâng cấp Pwnium, cuộc thi về khai thác lỗi bảo mật trên Chrome và Chromium, lên phiên bản 2 đồng thời tăng số tiền cho quỹ giải thưởng lên 2 triệu USD. Theo kế hoạch Pwnium 2 sẽ được tổ chức ở Malaysia vào ngày 10/10 tới đây trong khuôn khổ Hội nghị an ninh mạng Hack in The Box. Lần này, bên cạnh giải thưởng 60.000 USD trao cho những cao thủ có thể chiếm hoàn toàn quyền điều khiển máy tính chỉ dựa vào lỗi bảo mật trên trình duyệt của Google, hãng tìm kiếm cũng đề xuất thêm hai phần thưởng nữa. Số tiền 50.000 USD sẽ được trao cho hacker mũ trắng nào thực hiện cuộc tấn công thành công bằng cách kết hợp các lỗ hổng lập trình của Google và hệ điều hành Windows. Còn nếu các lập trình viên có thể tìm lỗi trên nền tảng của Microsoft, Adoble Flash và các ứng dụng khác để hack được tài khoản administration của hệ điều hành, họ sẽ nhận được 40.000 Mỹ kim (trường hợp này hacker không được sử dụng lỗ hổng trên Chrome).

Kỹ sư phần mềm Chris Evans của Google cho biết, cơ cấu các giải mở rộng cùng sự chênh lệch nhỏ số trong số tiền thưởng sẽ khuyến khích các lập trình viên tham gia cuộc thi nhiều hơn. Từ đó công ty của ông có thể nhận được thêm những phản hồi và góp ý quý giá. Cho dù hãng tìm kiếm sẽ phải tốn kém đôi chút, nhưng bù lại sản phẩm của họ sẽ ngày càng trở nên an toàn và làm hài lòng người dùng.

Tháng 3 năm nay, trong khuôn khổ Pwnium 1, đã có hai giải 60.000 USD được trao cho các ứng viên hoàn thành các nhiệm vụ đặt ra một cách xuất sắc. Tuy số tiền được trao chỉ chiếm 12% quỹ giải thưởng 1 triệu USD tại thời điểm đó, nhưng nó đã giúp Google nhận ra những thiếu sót cần phải được sửa ngay. Cụ thể, cả hai tác giả khi ấy đều tận dụng các lỗ hổng và vượt qua cơ chế bảo mật của Sandbox trên Chrome để tiếp cận một số chức năng của hệ điều hành như thay đổi các thiết lập registry hay truy nhập dữ liệu người dùng. Hẳn các bạn còn nhớ một trong hai người giành giải thưởng khi ấy là Sergey Glazunov đã được Tinhte giới thiệu.

Ngoài Pwnium, Google cũng có một dự án khác với tên gọi Chromium Rewards Program để trao thưởng cho các cá nhân chỉ ra các lỗ hổng mà hacker có thể tận dụng để khai thác (họ không nhất thiết phải thực hiện cuộc tấn công). Tùy vào mức độ nghiêm trọng của các lỗi này, người phát hiện có thể được tặng từ 500 USD tới 10.000 USD.

Cùng với Facebook, Mozilla, PayPal và dự án djbdns, Google là một trong những công ty hào phóng chi tiền để cộng đồng phát hiện ra các lỗ hổng an ninh trong các sản phẩm được phát hành. Mặc dù vậy, nhiều hãng công nghệ khác vẫn chưa có sự đền đáp xứng đáng cho các nhà nghiên cứu bảo mật khi họ đã dành rất nhiều công sức và thời gian để tìm hiểu và đưa ra những thông tin giá trị. Cho tới thời điểm hiện tại Google đã tổng cộng thưởng khoảng 1 triệu USD cho những người phát hiện ra những thiếu sót trong các phần mềm của mình. Trong khi đó Microsoft và Adobe vẫn chưa chi xu nào ngoài việc nhà phát triển Windows thưởng 250.000 cho ba người đã giúp cải tiến và tăng cường hàng rào an ninh cho một phần mềm của hãng.

Nguồn: Arstechnica