Categories: Sicherheit

Google wandelt Hackerwettbewerb Pwnium in ganzjähriges Prämienprogramm um

Google wird seinen jährlichen Hackerwettbewerb Pwnium nicht mehr austragen, der in den vergangenen vier Jahren als eintägige Veranstaltung im Rahmen der Konferenz CanSecWest stattfand. Teilnehmer durften auf hohe Preisgelder für das Aufdecken von Sicherheitslücken in Googles Produkten hoffen. Statt dieses Einzelevents plant der Inernetkonzern nun ein ganzjähriges Prämienprogramm, damit Schwachstellen schneller aufgedeckt werden.

„Wir haben in den Jahren einige großartige Beiträge erhalten, aber jetzt ist es Zeit für etwas Größeres. Ab sofort wird sich Pwnium deutlich verändern, von einem eintägigen Wettbewerb, der einmal im Jahr auf einer Sicherheitskonferenz abgehalten wurde, hin zu einer ganzjährigen weltweiten Chance für Sicherheitsforscher“, schreibt Tim Willis vom Chrome Security Team in einem Blogeintrag.

Pwnium war für Teilnehmer vor allem wegen der hohen Belohnungen attraktiv, die Google für das Aufdecken von Exploits auslobte. Im vergangenen Jahr zahlte es insgesamt 2,7 Millionen Dollar aus. Auch wenn sich das Format nun ändert, soll dies keine Auswirkungen auf den Prämientopf haben. Willis spricht sogar von einem theoretisch unendlichen Betrag, fügt aber hinzu, dass Googles Anwälte auf den zusätzlichen Hinweis bestünden, das es sich „um ein experimentelles und nach Googles Ermessen durchgeführtes Prämienprogramm handelt, das jederzeit wieder eingestellt oder verändert werden kann“.

„Logistisch werden wir Pwnium-artige Fehlerketten für Chrome OS dem Chrome VRP zuschlagen“, führt Willis weiter aus. „Dadurch erhöht sich die Spitzenprämie auf 50.000 Dollar, die über das gesamte Jahr hinweg ausgelobt wird.“ VRP steht für Googles Vulnerability Rewards Program. Im Rahmen dieses 2010 gestarteten Prämienprogramms zahlt der Internetkonzern Sicherheitsforschern zwischen 500 und 500.000 Dollar, je nach Schweregrad der von ihnen in Chrome OS oder Chrome-Browser aufgedeckten Exploits. Forscher sind nun aufgefordert, ursprünglich zur Vorführung bei Pwnium vorgesehene Fehlerketten beim VRP einzureichen.

Mit den Änderungen will Google nach eigenen Angaben erreichen, dass Sicherheitsforscher die von ihnen entdeckten Lücken nicht mehr bis zu dem Hackerwettbewerb geheimhalten. „Wenn ein Sicherheitsforscher eine Pwnium-taugliche Fehlerkette entdeckte, war es bisher sehr wahrscheinlich, dass er mit einer Meldung bis zu dem Wettbewerb warteten, um eine Geldprämie zu kassieren. Das ist ein schlechtes Szenario für alle Parteien. Es ist schlecht für uns, weil der Bug nicht sofort beseitigt wird, und für unsere Nutzer, die einem Risiko ausgesetzt sind“, erklärt Willis. Hinzu komme, dass zwei Forscher eventuell dieselbe Arbeit doppelt machten, wenn Lücken nicht sofort aufgedeckt würden.

Durch das ganzjährige Programm können sich zudem auch mehr Forscher beteiligen und müssen nicht eine bestimmte Veranstaltung besuchen. In den letzten Jahren fand der Pwnium-Wettbewerb beispielsweise im kanadischen Vancouver und in Malaysias Hauptstadt Kuala Lumpur statt.

[mit Material von Jo Best, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

15 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

20 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

21 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

21 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

23 Stunden ago