Home > Notícias

Google paga US$ 20 mil a quem conseguir hackear o Chrome

Prêmio será oferecido a quem encontrar e explorar brecha no navegador durante evento em março, no Canadá.

Computerworld/EUA

03/02/2011 às 10h34

Foto:

A Google vai pagar 20 mil dólares ao primeiro pesquisador
que encontrar uma brecha em seu navegador no concurso Pwn2Own de 2011. O prêmio é o maior já pago no concurso, cuja quinta edição
terá início durante a conferência CanSecWest, em Vancouver, no Canadá, em 9 de
março.

No Pwn2Own deste ano, os pesquisadores vão explorar brechas
em máquinas com sistemas Windows 7 ou Mac OS X e tentarão furar a segurança dos
navegadores Internet Explorer, Firefox, Safari e Chrome. Os primeiros a conseguir hackear o IE, Firefox e o Safari
ganharão 15 mil dólares e a máquina utilizada na competição. Os prêmios são 5
mil dólares maiores que os do último concurso, e três vezes maiores que os de
2009.

“Nós aumentamos a aposta. Desta vez, o total destinado aos
prêmios aumentou para 125 mil dólares”, disse Aaron Portnoy, gerente da equipe
de pesquisa em segurança da empresa HP Tipping Point. A Tipping Point, que mais uma vez patrocina o concurso,
divulgou as regras da competição na quarta-feira (2/2), em seu blog.

A novidade deste ano é a participação da Google. A empresa é
a primeira desenvolvedora de navegador a colocar dinheiro no fundo de
premiação. “Kudos (parabéns) à equipe de segurança da Google por tomar a iniciativa de nos
procurar”, disse Portnoy.

Regras diferentes
As regras para o Chrome são um pouco diferentes da de outros
navegadores, porque ele é o único dos quatro a usar uma “sandbox” (caixa de
areia, em inglês), uma forma de defesa. Uma “sandbox” isola os processos do
sistema, prevenindo ou pelo menos reduzindo sensivelmente a possibilidade de um
malware se utilizar de uma aplicação – no caso, o Chrome – para tomar o
controle do computador.

Para explorar um programa com “sandbox”, como o Chrome, os
pesquisadores precisam encontrar não uma, mas duas vulnerabilidades: fazer com
que o código de ataque escape da “sandbox”, e explorar um bug do Chrome.

Outros desenvolvedores seguiram os passos da Google para
tentar fazer suas aplicações mais seguras. No ano passado, por exemplo, a Adobe
adicionou uma “sandbox” ao seu popular Reader.

Para ganhar os 20 mil dólares da Google no primeiro dia do
Pwn2Own, o pesquisador deverá encontrar e explorar duas vulnerabilidades no
código da Google. Apenas no segundo e no terceiro dias do concurso os
pesquisadores podem utilizar um bug que não seja do Chrome –  um bug do Windows, digamos – para quebrar a “sandbox”.

Um ataque bem sucedido no segundo ou no terceiro dia ainda
renderá 20 mil dólares ao pesquisador, mas apenas 10 mil virão da Google. A
Tipping Point pagará os outros 10 mil.

Confiança
A participação da Google no Pwn2Own deste ano pode ser sinal
da confiança que a empresa tem em seu browser. Embora o Chrome tenha sido alvo
do Pwn2Own desde 2009, nenhum pesquisador conseguiu burlar o navegador e ganhar
o prêmio.

IE, Firefox e Safari já foram vítimas dos últimos concursos –
às vezes, em um embaraçosamente curto período de tempo. Em 2009, um pesquisador
– um cientista de computação da Alemanha que deu apenas seu primeiro nome, Nils
– ganhou a trifeta ao explorar todos os três browsers e levar para casa um
total de 15 mil dólares, 5 mil para cada hack.

Charlie Miller, o único pesquisador a ganhar prêmios no
Pwn2Own por três anos consecutivos, não tinha se comprometido a participar de
novo, mas o prêmio de 20 mil dólares da Google chamou sua atenção.

“O Pwn2Own agora oferece 20 mil por um ataque ao Chrome”,
disse Miller, pelo Twitter. “Deve ser difícil, que bom que o Mac OS X não usa “sandbox”
em seu browser.”

Miller é uma autoridade em hacking de Mac – ele é coautor do
livro The Mac Hacker’s Handbook, com Dino Daí Zovi, um vencedor do Pwn2Own de
2007 – e explorou o Safari em cada um dos últimos três anos. Como apontou, o
Safari não usa “sandbox”.

A Tipping Point também vai organizar um torneio de hacking
em mobilidade, na qual os pesquisadores tentarão explorar brechas em
smartphones com os sistemas Apple iOS, Android, Windows Phone 7 e RIM BlackBerry.

Ataques bem sucedidos a smartphones serão recompensados com
15 mil dólares.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail