Pwnium 2, il nuovo contest indetto da Google per trovare falle, bug e vulnerabilità in Chrome, mette in palio ben 2 milioni di dollari in denaro sonante, come premio per chi riuscirà nell’impresa.La gara si svolgerà il 10 ottobre prossimo.
Il duello all’ultimo bit per aggirare le misure di difesa del noto e ormai diffusissimo browser realizzato dal colosso di Mountain View, avrà luogo il prossimo ottobre in Malesia, a Kuala Lumpur, in occasione dei 10 anni di Hack In The Box.
I premi saranno così suddivisi: 60 mila dollari andranno a chi riuscirà a scoprire exploit di Chrome in Windows 7, 50 mila dollari se li aggiudicherà chi scopre exploit parziali che sfruttano almeno un bug del browser, mentre altri 40 mila dollari serviranno a premiare chi individua vulnerabilità che sfruttano software di terze parti.
Macchina utilizzata per i test sarà il notebook Acer Aspire V5-571-6869 con installato installato Windows 7 aggiornato all’ultima versione.
Uno di questi computer sarà regalato a chi troverà il bug ritenuto più interessante. Gli exploit dovranno essere serviti dall’App engine di Chrome sfruttando un meccanismo di autenticazione con password e protocollo HTTPS.
Il bug dovrà essere del tutto nuovo e non saranno accettate vulnerabilità già note o documentate in passato.
Dopo il medesimo evento tenutosi nel marzo scorso in occasione della conferenza CanSecWest, il Team di Google ha deciso di replicare l’operazione. Ben inteso che aggiudicarsi la posta in palio è più difficile di quanto si possa credere.
Nell’edizione passata del Pwnium infatti, sono stati assegnati solo 2 premi da 60 mila dollari ciascuno; Chrome è stato messo a dura prova dimostrando in maniera eccelsa di essere in grado di resistere a eventuali attacchi.
In quella occasione, Justin Schuh, responsabile della sicurezza di Chrome, è rimasto piuttosto sbalordito dalla preparazione dei programmatori e della loro capacità, definendo impressionante l’impresa dato che solo una approfondita conoscenza del funzionamento di Chrome poteva rendere possibile l’individuazione delle falle trovate.
La notizia è stata diffusa sul Chromium Blog il 15 agosto scorso.
Anche se a qualcuno può sembrare assurdo che un colosso come Google offra dei soldi a chi riesce a bucare il suo browser, di fatto ci sono un sacco di buoni motivi per fare una scelta del genere.
Innanzitutto si risparmia sui costi: immaginate l’azienda quanto dovrebbe investire per pagare dei programmatori a tempo pieno, solo per cercare di trovare errori o falle all’interno del software.
Inoltre, anche i programmatori poco etici potrebbero sfruttare la scoperta di un eventuale problema a proprio vantaggio magari per anni, prima che la cosa diventi di pubblico dominio.
Così facendo invece, anche gli hackers meno corretti sono incentivati a rendere pubblici gli errori trovati, in cambio di una consistente somma di denaro.
In fin dei conti, il contest Pwnium 2, è sicuramente un mezzo ed uno strumento utile sia per gli sviluppatori di software che per la casa produttrice di Chrome.