Google płaci milion dolarów za wykrycie błędów w Chrome - niby szaleństwo, ale to działa

Koncern ogłosił właśnie, że jest gotów zapłacić okrągły milion USD osobie, która wykryje i wskaże poważne błędy w zabezpieczeniach przeglądarki Chrome. To oszałamiająca kwota – nawet, jeśli weźmiemy pod uwagę, że aby ją zgarnąć, trzeba będzie tych błędów wskazać co najmniej 17. Ale to w sumie nic nowego, bo koncern płaci sowicie za znajdowanie luk od dawna – i do tej pory doskonale na tym wychodzi.

O co chodzi z tym milionem? Tak wysoka nagroda jest wynikiem zamieszania związanego ze zbliżającym się konkursem Pwn2Own. To słynna już w świecie hakerskim impreza, organizowana podczas konferencji CanSecWest. Zasady są proste – organizatorzy oddają do dyspozycji uczestników kilka komputerów i smartfonów z popularnymi systemami operacyjnymi i przeglądarkami. Kto pierwszy zdoła się włamać na daną platformę, ten wygrywa dane urządzenie oraz dodatkową nagrodę finansową. Konkurs podzielony jest na etapy – w pierwszym włamywać się można tylko zdalnie, w drugim – siedząc przy komputerze z zainstalowanym tylko gołym systemem i przeglądarką oraz w trzecim, w którym do powyższego zestawy dochodzi dodatkowe oprogramowanie (np. wtyczki do przeglądarki). Im wcześniej dojdzie do skutecznego włamania, tym wyższe są nagrody. Proste? Proste.

Google ma z pewnością do Pwn2Own sentyment – głównie dlatego, że Chrome jest jedyną przeglądarką, to której nikt nigdy nie zdołał się włamać w ramach konkursu (w przeciwieństwie np. do Apple’a, którego produkty są zwykle hakowane w rekordowo krótkim czasie, i to zwykle przez tego samego Charlie’go Millera).

Koncern zamierzał w tym roku sponsorować nagrody finansowe dla uczestników rywalizacji, ale, jak donosi Computerworld.com, w ostatniej chwili wycofał się z tego. Przedstawiciele Google tłumaczą w firmowym blogu, że decyzja podyktowana jest zmianą regulaminu, wprowadzoną dość niespodziewanie przez koordynatora imprezy. O co chodzi? Otóż organizatorzy – czyli przedstawiciele projektu Zero Day Initiative (w ramach którego hakerzy mogą legalnie sprzedawać informacje o lukach w oprogramowaniu) – zdecydowali, że uczestnicy nie muszą przekazywać autorom oprogramowania szczegółowych informacji o znalezionych przez siebie błędach.

W sumie nic dziwnego, że to się nie spodobało Google’owi – skoro koncern płaci za nagrody, chciałby dostać wszystkie dane na temat luk (żeby móc je załatać i dowiedzieć się, jak w ogóle doszło do tego, że błąd się pojawił). Dlatego też koncern wymyślił własny konkurs, który prowadzony będzie podczas CanSecWest. I przyznać trzeba, że zapowiada się on całkiem interesująco. Zasady są takie – koncern zamierza płacić za każdy zgłoszony mu błąd w Chrome wedle następujących stawek:

60 tys. USD dostanie osoba, która znajdzie pojedynczy błąd w Chrome, umożliwiający pełne przejęcie kontroli nad komputerem z Windows 7

40 tys. USD dostanie osoba, której do przejęcia kontroli nad pecetem posłuży jeden błąd w Chrome i jeden w jakimś dodatkowym oprogramowaniu (systemie lub dołączonej do niego aplikacji)

20 tys. USD dostanie osoba, której do sforsowania zabezpieczeń i przejęcia kontroli nad komputerem posłuży jakikolwiek błąd w popularnym oprogramowaniu (Windows, Flash, Java itp. – Google tłumaczy, że chce w ten sposób podnieść ogólny poziom bezpieczeństwa).

Oczywiście, są zastrzeżenia – błędy muszą być poważne i, przede wszystkim, nowe (informacja o nich nie mogła być nigdzie wcześniej opublikowana), a przed wypłaceniem nagród Google chce dostań szczegółowe informacje na ich temat.

W sumie koncern zamierza przeznaczyć na nagrody okrągły milion USD – i nie ma żadnych przeciwwskazań co do tego, by całą sumę zgarnęła jedna osoba (pod warunkiem, że wskaże dostateczną liczbę luk). To jest oczywiście niezbyt prawdopodobny scenariuszu… ale wykluczony też nie jest.

O motywach takich działań koncernu można oczywiście dyskutować, ale przyznać trzeba jedno: wypłacanie godziwych nagród za wskazywanie błędów w oprogramowaniu po prostu działa. Google Chrome nie bez podstaw uważany jest dziś za jedną z najlepiej zabezpieczonych przeglądarek internetowych – i jest to zarówno zasługą przemyślanych systemów ochronnych (w tym świetnego sandboksu), jak i wzorowej wręcz współpracy ze środowiskiem hakerskim.

To zresztą nie tylko kwestia dobrych relacji i sprawnego PR – nie bez znaczenia jest również to, że Google płaci za błędy na tyle dużo, że osobom, które znajdą błąd w Chrome bardziej opłaca się po prostu przekazać go firmie, niż kombinować i szukać nabywcy na „czarnym rynku”.

Gwoli sprawiedliwości warto odnotować, że Google nie jest pierwszym producentem przeglądarki, który zaczął płacić za informacje o lukach – od blisko dekady robi to już Mozilla, a od niedawna również Facebook.