Online Tržište

Ovog mjeseca kompanija Google platila je znanstveniku koji se bavi sigurnosti na Internetu rekordnih 31.336 dolara za obavještavanje o tri greške u tražilici Chrome.

Rekordni iznos Google-ovog “bug bounty” programa isplaćen je Ralf-Philipp Weinmann-u, znanstveniku suradniku na Sveučilištu u Luksemburgu. “Bug bounty” programa podrazumijeva da kompanija Google novčano nagradi svakoga tko otkrije grešku u njenom softveru.

Drago nam je što možemo objaviti da smo novčano nagradili Ralf-Philipp Weinmann-a sa 31.336 dolara u okviru Chromium nagradnog programa, otkrivanjem tri greške u kodu tražilice Chrome. Greške su demonstrirane i vrlo detaljno opisane,

navodi u priopćenju Ben Henry, Google tehnički voditelj Bug Bounty programa.

Ove tri greške iskorištavaju O3D, a JavaScript API (Application Programming Interface) dizajnirano za kreiranje interaktivnih 3D Web aplikacija. API i dodatak za podržanu tražilicu kreirani su od strane Google-a.

Važno je reći da su sve tri greške označene kao visokorizične, druge po ozbiljnosti na Chrome-ovom sustavu rangiranja ozbiljnosti ranjivosti.

Ova novčana nagrada je nešto veće nego što je to bilo uobičajeno za otkrivanje sličnih grešaka u Chrome međutim, prošlog kolovoza je kompanija najavila da će povećati novčane nagrade kako bi potakla ljude na otkrivanje i prijavljivanje grešaka u Chrome.

Google navodi da je u ovoj godini do sada isplatio gotovo 188.000 dolara nagrada za otkrivanje grešaka i propusta u Chrome i Chrome OS, uključujući i one na Pwn2Own i Google-ovim vlastitim Pwnium natječajima.

Nakon kritika koje su se pojavile nakon nedavnog pokretanja Mega Cloud servisa za pohranu (nasljednika Megaupload-a), kontroverzni Kim Dotcom ponudio je  10.000 evra nagrade svakome tko uspije probiti kriptografiju dizajniranu s ciljem da se se povjerljive datoteke korisnika zaštite od hakera i drugih neovlaštenih osoba.

Servis Mega debitirao je prije dva tjedna u ubrzo se našao na meti kritičara koji su isticali postojanje potencijalne ranjivosti koja može da se iskoristi za otključavanje privatnih datoteka korisnika. Također, i sama dokumentacija Mega servisa prilično je nejasno po pitanju zaštite privatnih ključeva za kriptiranje. Kritizirana je ovisnost Mega servisa o JavaScript-u koji se preuzima sa Mega servera i koji se koristi za kriptiranje datoteke prije nego što se ona otpremi na Cloud servis.

Također, Mega novim korisnicima šalje nekodiranu e-mail potvrdu koja sadrži ne samo kriptografski hash njihove lozinke već i druge osjetljive podatke kao što je šifrirani master ključ koji se koristi za dekriptiranje datoteka pohranjenih na računu.

• Svi oni koji žele da osvoje nagradu od 10.000 evra moraju znati koje ranjivosti konkuriraju za nagradu:
• Daljinsko izvršavanje koda na bilo kojem od Mega servera (uključujući i SQL injection)
• Daljinsko izvršavanje koda na bilo kojem pregledniku klijenta (npr., kroz XSS)
• Svaki problem koji razbija kriptografski sigurnosni model servisa Mega, omogućujući neovlašteni daljinski pristup ili manipulaciju ključevima ili podacima
• Svaki problem koji zaobilazi kontrolu pristupa, omogućujući neovlašteno prepisivanje ili uništavanje ključeva ili korisničkih podataka
• Svaki problem koji ugrožava podatke na računu u slučaju kada je povezana e-mail adresa ugrožena

Samo oni koji su prvi pronašli ranjivost imaju pravo na nagradu. Kim Dotcom navodi da svatko tko pronađe ranjivost može da je dostavi na bugs@mega.co.nz.

Program kompanije Google koji podrazumjeva novčano nagrađivanje svih onih koji pronađu neki sigurnosni propust u njenom pregledniku Chrome radi dovoljno dobro da je kompanija zaključila da je vrijeme da se dodaju nove novčane nagrade.

Google vjeruje da su manji sigurnosni propusti već pronađeni tako da je kompanija odlučila dodati novi financijski poticaja za sve one koji vole da pronalaze ovakve propuste.

Nedavno smo napravili analizu ovog programa i vidjeli da je došlo do značajnog pada u prijavljivanju sigurnosnih propusta u Chrome što je za nas jasan znak da je postalo sve teže pronaći sigurnosne propuste u našem pregledniku. Ovo je posljedica napora naše šire zajednice koja ga je učinila znatno jačim,

propćio je Chrome programer Chris Evans.

Dakle, kompanija Google odlučila je dodati novih 1.000 dolara bonusa na redovni poticaj koji vrijedi samo ako se ispune tri uslova. Bonus vrijedi ako je propust:

1. “iznimno iskoristiv” i ako dolazi sa demonstracijom
2. u open-source softver knjižnici koju koristi Chrome
3. u stabilnom području Chrome-a za koje Google smatra da su svi propusti već zakrpljeni

Google navodi da je do sada platio više od milijun dolara za pronalaženje sigurnosnih propusta u Chrome. Između ostalog, za otkrivanje propusta po 60.000 dolara dobili su Sergey Glazunov i PinkiePie.

Kompanija je jučer također objavila Chrome 21.0.1180.79 za Mac, Linux, Windows i Chrome Frame kako bi zakrpila propuste u Adobe Flash Player-u koji je ugrađen u Chrome-u.

Kompanija Microsoft jučer je objavila da je Vasilis Pappas pobjednik njenog BlueHat Prize takmičenja. Cilj natjecanja je potaknuti razvoj novih i inovativnih zaštita čija je svrha sprječavanje iskorištavanja određenih vrsta sigurnosnih ranjivosti.

Vasilis Pappas, koji je u ovom trenutku student Sveučilišta Columbia u New Yorku, nagrađen je od kompanije Microsoft sa 200.000 dolara. Nagrađeni rad, kBouncer, dizajniran je za otkrivanje abnormalne kontrolne transfera pomoću značajke Last Branch Recording Intelovih procesora kako bi ponudio Return Oriented Programming (ROP) ublažavanja eksploatacije.

ROP je tehnika kojom se napadači često koriste za kombiniranje kratkih dijelova benignog koda koji su već prisutni na ciljnom sustavu. kBouncer iskorištava prednosti podržanih hardverskih mogućnosti a uz to se vrlo jeftino može implementirati. Laički rečeno, kBouncer blokira sve što liči na ROP napad.

BlueHat Prize takmičenje imalo je trojicu finalista i svi su dizajnirali tehnologije za ublažavanje napada koji iskorištavaju ROP. Rješenje nazvano ROPGuard osvojilo je drugu nagradu vrijednu 50.000 dolara. Njegov kreator je dr. sc. Ivan Fratrić, viši asistent na Zavodu za elektroniku, mikroelektroniku, računalne i inteligentne sustave Zagrabačkog Sveučilišta. ROPGuard otkriva i sprječava trenutno korištene oblike napada temeljene na tehnici poznatoj kao povratno orijentirano programiranje (ROP) i može se primijeniti na bilo koji proces sa minimalnim dodatnim memorijskim i procesorskim zahtjevima. Treba istaći da je ROPGuard integriran u Microsoft-ovo najnovije EMET izdanje.

Treću nagradu od 10.000 osvojio je Jared DeMott za svoje rješenje nazvano / ROP. Sva trojica finalista dobila su pretplatu na Microsoft Developer Network vrijednu 10.000 dolara.

Sa velikim zadovoljstvom čestitamo pobjedniku našeg BlueHat Prize natječaja i njegovoj novoj obrambenoj tehnologiji koja unapređuju ublažavanje posljedica jedne od najpopularnijih tehnika napada sa kojima se susrećemo danas. BlueHat Prize je više od natječaja, to je budućnost obrane sigurnosti u kojoj zajednica pokušava da riješi neke od najtežih problema sa kojima se suočavamo i tako učini računalni ekosustav sigurniji,

priopćio je Matt Thomlinson, generalni menadžer, Trustworthy Computing Group, Microsoft.

Kompanija Google obećala je novčane nagrade u iznosu od milion dolara onima koji uspešno hakiraju njegov Chrome pretraživač na bezbednosnoj konferenciji CanSecWest koja će se održati sledeće nedelje.

Google će nagraditi takmičare sa nagradama u iznosu od 60.000, 40.000 i 20.000 dolara u zavisnosti od težine podviga demonstriranih na Windows 7 računarima koji koriste Chrome pretraživač. Kompanija će takođe svim pobednicima pokloniti i po jedan svoj Chromebook. Članovi bezbednosnog tima kompanije najavili su ovaj Pwnium konkurs na svom blogu.

Pwn2Own takmičenje organizuje se već šest godina a novćane nagrade se dodeljuju onima koji uspeju da iskoriste ranjivosti pretraživaća i drugog Internet softvera. Na prošlogodišnjem takmičenju, Internet Explorer i Safari su bili srušeni, ali niko nije ni pokušao da hakira Chrome (uprkos tome što je Google ponudio dodatnih 20.000 dolara pored 15.000 dolara koje su obezbedili organizatori takmičenja).

Google Chrome je trenutno jedini pretraživač koji nikada na Pwn2Own takmičenju nije srušen. Kao jedan od ključnih razloga za to dosadašnji učesnici takmičenja navode problem u zaobilaženju Google Sandbox bezbednosti.

Da bi mogli da konkurišu za osvajanje nagrada svi učesnici takmičenja moraju da dostave svoja dostignuća direktno kompaniji Google, i to je uslovljeno time da ta dostignuća nisu negde pre objavljena, na blogovima ili negde drugo.

Facebook je objavio da počinje da prima prijava za svoj drugi godišnji Hacker Cup, natjecanje za najboljeg hakera.

Programeri iz cijelog svijeta će se takmičiti u riješavanju algoritamskih problema, napredujući kroz pet rundi takmičenja a samo jedan će ponijeti naslov najboljeg na svijetu i trofej Hacker Cup.

“Hakiranje je srž onaga kako mi radimo stvari na Facebook-u. Naši inženjeri služe se hakiranjem kako bi pronašli bolje načine za rješavanje problema”, navodi u objavi takmičenja Facebook inženjer David Alves.

Da ne bude zabune, Facebook se koristi originalnom definicijom “hakera”, koja se ne odnosi na netkog tko provaljuje u računalne sustave, nego na pojedinca koji “uživa u istraživanju ​​detalja sustava i kako najbolje iskoristiti njegove sposobnosti”. Definicija je posuđena iz online računalnog sleng rječnika The Jargon File.

Natjecanje započinje 20. siječnja 2012 godine sa online kvalifikacijama koje će trajati 72 sata. Programeri koji prođu kvalifikacije imat će još tri kruga online takmičenja. Najjnaporniji je prvi koji počinje 28. siječnja i traje 24 sata. U drugi krug će proći samo 500 najboljih a on počinje 4. veljače. Ukupno 100 natjecatelja će proću u treći krug koji počinje 11. veljače.

Nakon toga, Facebook će obavjestiti e-mailom najboljih 25 natjecatelja da su ušli u finalnu rundu takmičenja koja neće biti online već će se održati u Menlo Park, California, 17. ožujka 2012 godine.

Facebook obećava da će finalistima nadoknaditi putne troškove i troškove izdavanja viza. Svi finalisti će dobiti novčane i druge nagrade ali će samo jedan osvojiti Hacker Cup trofej.

Microsoft je pokrenuo takmičenje sa nagradnim fondom od 250.000 dolara za istraživače koji razvijaju odbrambeno bezbednosne tehnologije i inovativne taktike za osujećivanje sajber napada.

Kompanija je pokrenula ovo BlueHat Prize takmičenje na glavnoj Black Hat konferenciji za bezbednost računara koja se održava u Las Vegasu.

Kompanija Google ima sličan model nagrađivanja hakera koji otkriju ranjivosti u njenom pretraživaču Chrome-u, prema navodima kompanija je do sada na nagrade u 2011 godini potrošila nešto više od 110,000 dolara, a pretpostavlja da će ukupan iznos u 2011 godini biti oko 190.000 dolara.

S obzirom da su i dalje u porastu kriminalni napadi na privatne i Vladine računarske sisteme, Microsoft prepoznaje potrebu da stimuliše istraživanje u oblasti odbrambenih tehnologija računarske bezbednosti. Naš interes je da se promoviše razvoj inovativnih rešenja, a ne da se bavimo otkrivanjam pojedinačnih problema,

navodi se u saopštenju kompanije.

Kompanija Microsoft, za razliku od sličnih modela koje imaju Google i Mozilla, odlučila se da ponudi nagrade za celokupnu odbranu od svih vrsta sajber napada, umesto plaćanja "nagrada" za one koji otkrivaju pojedinačne grešake i propuste.

BlueHat Prize takmičnje obećava više od 250.000 dolara u gotovini i druge nagrade a ovogodišnja tema takmičenja je sprečavanje hakovanje i iskorištavanja ranjivosti memorije računara.

Microsoft navodi da se nada da će ovo takmičenje inspirisati doprinos koji mogu da pruže naučnici, sigurnosni profesionalci, pa čak i mladi hakeri.

Dodelu BlueHat nagrada vodiće interno sudijsko veće kompanije Microsoftu, a najbolje rešenje će biti nagrađeno sa 200.000 dolara dok će 50.000 dolara pripasti drugoplasiranom. Nagrada za treće mesto će biti pretplata na Microsoft usluge u vrednosti od 10.000 dolara.

Pobednici BlueHat Prize takmičenja će biti predstavljeni na Black Hat skupu u Las Vegasu sledeće godine.

Više informacije o takmičenju možete naći na sajtu microsoft.com/security/bluehatprize.

Kompanija Microsoft ponudila je novčanu nagradu od 250.000 dolara za informacije koje bi pomogle u identificiranju, uhićenju i osuđivanje onih koji su bili odgovorni za kontrolu zloglasne botnet mreže Rustock.

Ova ponuđena novčana nagrada dolazi nakon priznanja kompanije Microsoft da je botnet Rustock odgovorna za niz kriminalnih aktivnosti i ovom ponudom kompanija želi da pokaže svoje opredjeljenje za lociranje i uhićenje onih koji su je kotrolirali.

Iako je primarni cilj naše zakonske i tehničke operacije bio da se zaustavi i ukloni prijetnja koju je Rustock imala za sve one koji su bili pod njenim utjecajem, mi također smatramo da oni koji su kontrolirali najveću i najopasniju botnet mrežu do sada, moraju odgovarati za svoje postupke,

izjavio je Richard Boscovich, iz Microsoft-ovog odjela za digitalni kriminal.

Pravne akcije koje je kompanija Microsoft do sada preuzimala na civilnim sudovima do sada je dalo rezultate, da se obori Rustock botnet i omete njezino poslovanje. Rustock je bio ozloglašen kao spam gigant, sa kapacitetom za slanje 30 milijardi spam mailova dnevno. Botnet je bio odgovoran i za niz drugih krivični dijela uključujući i oglašavanje krivotvorenih ili neodobrenih verzija lijekova, kršenje zakona o korištenju zaštitog znaka farmaceutskog proizvođača Pfizer i kompanije Microsoft. Iako je Rustok-ova botnet baza inficiranih računal prepolovljena u relativno kratkom vremenenskom periodu, još uvijek postoji na stotine tisuća zaraženih računala širom svijeta koji tek treba da budu očišćeni od botnet malware-a.

Microsoft već prikuplja jake dokaz u svojoj istrazi a ova novčana nagrada treba da još više pomogne u identificiranju i kažnjavanju odgovornih.

Mi ćemo i dalje pratiti ovaj slučaj, gdje god da nas vodi, a i dalje ćemo predano surađivati sa našim partnerima širom svijeta kako bi se pomoglo ljudi da ponovno vrate kontrolu nad svojim zaraženih računalima. Svi ljudi mogu pratiti besplatne informacije i resurse za čiščenje svojih računala na našoj stranici support.microsoft.com/botnets,

istakao je Richard Boscovich.

Kompanija Microsoft napominje da stanovnici svake zemlje imaju pravo na nagradu od 250.000 dolara, jer je Rustock botnet pogodila svjetsku Internet zajednicu. Svatko s informacijama o Rustock botnet ili njenim operaterima treba da se obrate kompaniji na e-mail avreward@microsoft.com.

Tinejdžer iz Kalifornije koji je razbio kompleksnu matematičku jednadžbu, nagrađen je od strane Intel Science Talent Search takmičenja sa nagradom od 100.000 dolara za prvo mjesto. Evan O'Dorney, 17 godina star, osvojio je nagradu za "svoj matematičko projekt u kojem je uporedio dva načina za izračunavanje kvadratnog korijena cijelog broja. On je otkrio točno kada će brži način raditi," objavila je kompanija Intel.

On je prvi Bay Area učenik koji je osvojio ono što se smatra srednjoškolskim ekvivalentom Nobelove nagrade, a šesti iz Kalifornije od kada je natjecanje ustanovljeno 1942 godine. 17-godišnji Evan O'Dorney, pobijedio je 39 ostalih Intel Science Talent Search finalista okupljenih sa područja SAD sa matematičkim unosom sažetim kao "Continued Fraction Convergents and Linear fractional transformations".

Sve u svemu, Zaklada kompanije Intel je dodjelila 630.000 dolara za 40 finalista u natjecanju. Finalisti su izabrani u natjecanjima u kojima je učestvovalo 1.744 srednjoškolaca. Finalno takmičenje je održano u Washingtonu, gdje se 40 finalista natjecalo za 10 najvrijednijih nagrada.

Chrome je jedini preglednik od velike četvorke, u koju još spadaju Safari, Firefox i Internet Explorer, koji je na Pwn2Own hakerskom natjecanju uspjeo ostati ne hakiran u posljednje dvije godine. Očito da je dosadašnji uspjeh potaknuo Google-ovu samouvjerenost toliko da je sada ponudio nagradu od 20.000 dolara i laptop CR-48 kojeg pokreće Chrome OS za hakera koji uspije pronaći i iskoristi sigurnosnu rupu u njegovom Chrome pregledniku.

Natjecatelj mora koristiti isključivo ranjivosti prisutnu u Google kodu i izbjeći sandbox kako bi hakiranje bilo uspješno.

U organizaciji Zero Day Initiative (ZDI) tima na HP TippingPoint, natjecanje nudi dodatne nagrade u ukupnom iznosu od 105.000 dolara za uspješno hakiranje Microsoft Internet Explorer-a, Apple Safari-a i Mozilla Firefox-a, kao i mobitela: Dell Venue Pro kojeg pokreće Windows 7, iPhone 4 sa iOS, Blackberry Torch 9800 sa Blackberry 6 OS i Nexus S kojeg pokreće Google Android.

Uspješno hakiranje ovih uređaja hakeru donosi nagradu od 15.000 dolara u gotovini i sam uređaj, kao i monetarni bonus za daljnje ZDI podneske u 2011 godini.

Inače, Pwn2Own takmičenje održava se od 9. do 11. ožujka u Vancouveru na CanSecWest konferenciji.