Google wandelt Hackerwettbewerb Pwnium in ganzjähriges Prämienprogramm um

Google wird seinen jährlichen Hackerwettbewerb Pwnium nicht mehr austragen, der in den vergangenen vier Jahren als eintägige Veranstaltung im Rahmen der Konferenz CanSecWest stattfand. Teilnehmer durften auf hohe Preisgelder für das Aufdecken von Sicherheitslücken in Googles Produkten hoffen. Statt dieses Einzelevents plant der Inernetkonzern nun ein ganzjähriges Prämienprogramm, damit Schwachstellen schneller aufgedeckt werden.

„Wir haben in den Jahren einige großartige Beiträge erhalten, aber jetzt ist es Zeit für etwas Größeres. Ab sofort wird sich Pwnium deutlich verändern, von einem eintägigen Wettbewerb, der einmal im Jahr auf einer Sicherheitskonferenz abgehalten wurde, hin zu einer ganzjährigen weltweiten Chance für Sicherheitsforscher“, schreibt Tim Willis vom Chrome Security Team in einem Blogeintrag.

Pwnium war für Teilnehmer vor allem wegen der hohen Belohnungen attraktiv, die Google für das Aufdecken von Exploits auslobte. Im vergangenen Jahr zahlte es insgesamt 2,7 Millionen Dollar aus. Auch wenn sich das Format nun ändert, soll dies keine Auswirkungen auf den Prämientopf haben. Willis spricht sogar von einem theoretisch unendlichen Betrag, fügt aber hinzu, dass Googles Anwälte auf den zusätzlichen Hinweis bestünden, das es sich „um ein experimentelles und nach Googles Ermessen durchgeführtes Prämienprogramm handelt, das jederzeit wieder eingestellt oder verändert werden kann“.

„Logistisch werden wir Pwnium-artige Fehlerketten für Chrome OS dem Chrome VRP zuschlagen“, führt Willis weiter aus. „Dadurch erhöht sich die Spitzenprämie auf 50.000 Dollar, die über das gesamte Jahr hinweg ausgelobt wird.“ VRP steht für Googles Vulnerability Rewards Program. Im Rahmen dieses 2010 gestarteten Prämienprogramms zahlt der Internetkonzern Sicherheitsforschern zwischen 500 und 500.000 Dollar, je nach Schweregrad der von ihnen in Chrome OS oder Chrome-Browser aufgedeckten Exploits. Forscher sind nun aufgefordert, ursprünglich zur Vorführung bei Pwnium vorgesehene Fehlerketten beim VRP einzureichen.

Mit den Änderungen will Google nach eigenen Angaben erreichen, dass Sicherheitsforscher die von ihnen entdeckten Lücken nicht mehr bis zu dem Hackerwettbewerb geheimhalten. „Wenn ein Sicherheitsforscher eine Pwnium-taugliche Fehlerkette entdeckte, war es bisher sehr wahrscheinlich, dass er mit einer Meldung bis zu dem Wettbewerb warteten, um eine Geldprämie zu kassieren. Das ist ein schlechtes Szenario für alle Parteien. Es ist schlecht für uns, weil der Bug nicht sofort beseitigt wird, und für unsere Nutzer, die einem Risiko ausgesetzt sind“, erklärt Willis. Hinzu komme, dass zwei Forscher eventuell dieselbe Arbeit doppelt machten, wenn Lücken nicht sofort aufgedeckt würden.

Durch das ganzjährige Programm können sich zudem auch mehr Forscher beteiligen und müssen nicht eine bestimmte Veranstaltung besuchen. In den letzten Jahren fand der Pwnium-Wettbewerb beispielsweise im kanadischen Vancouver und in Malaysias Hauptstadt Kuala Lumpur statt.

[mit Material von Jo Best, ZDNet.com]