Google sẽ thưởng 20.000 USD cho nhà nghiên cứu đầu tiên tấn công được trình duyệt Internet Chrome của hãng tại cuộc thi hacking Pwn2Own năm nay.
Đây là giải thưởng lớn nhất từ trước đến nay của cuộc thi này, cuộc thi sẽ diễn ra tại Hội nghị Bảo mật CanSecWest ở Vancouver, British Columbia, vào ngày 9/3 tới.
Tại Pwn2Own năm nay, các nhà nghiên cứu sẽ tìm mọi cách để khai thác các lỗ hổng của những cỗ máy chạy Windows 7 hoặc Mac OS X, bằng cách tấn công vào Internet Explorer của Microsoft, Firefox của Mozilla, Safari của Apple và Chrome của Google.
Những nhà nghiên cứu đầu tiên tấn công thành công IE, Firefox và Safari sẽ nhận được giải thưởng 15.000 USD và chiếc máy tính chạy trình duyệt đó. Giá trị những giải thưởng này đã cao hơn 5.000 USD so với năm ngoái và cao gấp 3 lần so với giải thưởng năm 2009.
Aaron Portnoy, quản lý nhóm nghiên cứu bảo mật của HP TippingPoint, cho biết tổng giá trị tiền mặt của giải thưởng năm nay là 125.000 USD. TippingPoint là nhà tài trợ cho Pwn2Own.
Năm nay là lần đầu tiên Google tham gia cuộc thi này. Các quy định tấn công Chrome hơi khác so với các trình duyệt khác, vì đây là một trong bốn trình duyệt duy nhất sử dụng tính năng “sandbox”, một dạng bảo vệ giúp chống lại các cuộc tấn công. Sandbox sẽ cách ly hệ thống, ngăn chặn hoặc ít nhất là ngăn không cho các loại mã độc trốn vào các ứng dụng, từ đó phá hủy máy tính.
Để tấn công một chương trình sandbox như Chrome, các nhà nghiên cứu phải tìm ra không chỉ 1 mà 2 lỗ hổng: lỗ hổng đầu tiên là cho phép mã tấn công thoát khỏi chức năng sandbox, và thứ hai là khai thác lỗ hổng trên Chrome.
Các nhà phát triển phần mềm đã “theo chân” Google, cố gắng làm cho các ứng dụng của họ bảo mật hơn. Năm ngoái, Adobe đã thêm sandbox vào chương trình Reader của họ.
Để giành được 20.000 USD của Google, trong ngày đầu tiên của Pwn2Own, một nhà nghiên cứu phải phát hiện và khai thác 2 lỗ hổng trong mã của Google. Trong ngày thứ 2 và 3 của cuộc thi, các nhà nghiên cứu mới bắt đầu khai thác một lỗ hổng không phải của Chrome, mà chẳng hạn sẽ là lỗ hổng trên Windows, để tấn công tính năng sandbox. Khi thành công, họ sẽ được hưởng giải 20.000 USD, tuy nhiên Google chỉ trả 10.000 USD còn Tipping Point sẽ trả 10.000 USD. Sự tham gia của Google vào Pwn2Own năm nay có thể đánh dấu sự tự tin của hãng rằng Chrome không thể bị tấn công.
Năm 2009, một nhà khoa học máy tính người Đức đã tấn công thành công cả 3 trình duyệt IE, Firefox và Safari và dành trọn 15.000 USD tiền thưởng, với mỗi trình duyệt là 5.000 USD.
Charlie Miller, nhà nghiên cứu duy nhất dành được giải thưởng Pwn2Own trong 3 năm liên tiếp, cho biết sẽ không tiếp tục tham gia trong sự kiện năm nay. “Sẽ khó để lấy được 20.000 USD khi tấn công Chrome đây”, anh nói trên Twitter. “Song may mắn là Mac OS X không có sandbox”.
Miller chuyên nghiên cứu về máy Mac. Anh là đồng tác giả với Dino Dai Zovi trong giải thưởng tấn công máy Mac vào Pwn2Own năm 2007.
TippingPoint cũng sẽ tổ chức cuộc thi tấn công di động tại Pwn2Own năm nay, cho phép các nhà nghiên cứu khai thác các loại smartphone chạy iOS của Apple, Android của Google, Windows Phone 7 của Microsoft và BlackBerry của RIM.
Tấn công thành công vào smartphone sẽ được giải thưởng 15.000 USD.