Google wird seinen jährlichen Hackerwettbewerb Pwnium nicht mehr austragen, der in den vergangenen vier Jahren als eintägige Veranstaltung im Rahmen der Konferenz CanSecWest stattfand. Teilnehmer durften auf hohe Preisgelder für das Aufdecken von Sicherheitslücken in Googles Produkten hoffen. Statt dieses Einzelevents plant der Inernetkonzern nun ein ganzjähriges Prämienprogramm, damit Schwachstellen schneller aufgedeckt werden.
„Wir haben in den Jahren einige großartige Beiträge erhalten, aber jetzt ist es Zeit für etwas Größeres. Ab sofort wird sich Pwnium deutlich verändern, von einem eintägigen Wettbewerb, der einmal im Jahr auf einer Sicherheitskonferenz abgehalten wurde, hin zu einer ganzjährigen weltweiten Chance für Sicherheitsforscher“, schreibt Tim Willis vom Chrome Security Team in einem Blogeintrag.
Pwnium war für Teilnehmer vor allem wegen der hohen Belohnungen attraktiv, die Google für das Aufdecken von Exploits auslobte. Im vergangenen Jahr zahlte es insgesamt 2,7 Millionen Dollar aus. Auch wenn sich das Format nun ändert, soll dies keine Auswirkungen auf den Prämientopf haben. Willis spricht sogar von einem theoretisch unendlichen Betrag, fügt aber hinzu, dass Googles Anwälte auf den zusätzlichen Hinweis bestünden, das es sich „um ein experimentelles und nach Googles Ermessen durchgeführtes Prämienprogramm handelt, das jederzeit wieder eingestellt oder verändert werden kann“.
„Logistisch werden wir Pwnium-artige Fehlerketten für Chrome OS dem Chrome VRP zuschlagen“, führt Willis weiter aus. „Dadurch erhöht sich die Spitzenprämie auf 50.000 Dollar, die über das gesamte Jahr hinweg ausgelobt wird.“ VRP steht für Googles Vulnerability Rewards Program. Im Rahmen dieses 2010 gestarteten Prämienprogramms zahlt der Internetkonzern Sicherheitsforschern zwischen 500 und 500.000 Dollar, je nach Schweregrad der von ihnen in Chrome OS oder Chrome-Browser aufgedeckten Exploits. Forscher sind nun aufgefordert, ursprünglich zur Vorführung bei Pwnium vorgesehene Fehlerketten beim VRP einzureichen.
Mit den Änderungen will Google nach eigenen Angaben erreichen, dass Sicherheitsforscher die von ihnen entdeckten Lücken nicht mehr bis zu dem Hackerwettbewerb geheimhalten. „Wenn ein Sicherheitsforscher eine Pwnium-taugliche Fehlerkette entdeckte, war es bisher sehr wahrscheinlich, dass er mit einer Meldung bis zu dem Wettbewerb warteten, um eine Geldprämie zu kassieren. Das ist ein schlechtes Szenario für alle Parteien. Es ist schlecht für uns, weil der Bug nicht sofort beseitigt wird, und für unsere Nutzer, die einem Risiko ausgesetzt sind“, erklärt Willis. Hinzu komme, dass zwei Forscher eventuell dieselbe Arbeit doppelt machten, wenn Lücken nicht sofort aufgedeckt würden.
Durch das ganzjährige Programm können sich zudem auch mehr Forscher beteiligen und müssen nicht eine bestimmte Veranstaltung besuchen. In den letzten Jahren fand der Pwnium-Wettbewerb beispielsweise im kanadischen Vancouver und in Malaysias Hauptstadt Kuala Lumpur statt.
[mit Material von Jo Best, ZDNet.com]
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
