Google paga US$ 20 mil a quem conseguir hackear o Chrome

A Google vai pagar 20 mil dólares ao primeiro pesquisador que encontrar uma brecha no concurso Pwn2Own de 2011.

O prêmio é o maior já pago no concurso, cuja quinta edição terá início durante a conferência CanSecWest, em Vancouver, no Canadá, em 9 de março.

No Pwn2Own deste ano, os pesquisadores vão explorar brechas em máquinas com sistemas Windows 7 ou Mac OS X e tentarão furar a segurança dos navegadores Internet Explorer, Firefox, Safari e Chrome.

Os primeiros a conseguir hackear o IE, Firefox e o Safari ganharão 15 mil dólares e a máquina utilizada na competição. Os prêmios são 5 mil dólares maiores que os do último concurso, e três vezes maiores que os de 2009.

“Nós aumentamos a aposta. Desta vez, o total destinado aos prêmios aumentou para 125 mil dólares”, disse Aaron Portnoy, gerente da equipe de pesquisa em segurança da empresa HP Tipping Point.

A Tipping Point, que mais uma vez patrocina o concurso, divulgou as regras da competição na quarta-feira (2/2), em seu blog .

A novidade deste ano é a participação da Google. A empresa é a primeira desenvolvedora de navegador a colocar dinheiro no fundo de premiação. “Kudos à equipe de segurança da Google por tomar a iniciativa de nos procurar”, disse Portnoy.

Regras diferentes

As regras para o Chrome são um pouco diferentes da de outros navgadores, porque ele é o único dos quatro a usar uma “sandbox” (caixa de areia, em inglês), uma forma de defesa. Uma “sandbox” isola os processos do sistema, prevenindo ou pelo menos reduzindo sensivelmente a possibilidade de um malware se utilizar de uma aplicação – no caso, o Chrome – para tomar o controle do computador.

Para explorar um programa com “sandbox”, como o Chrome, os pesquisadores precisam encontrar não uma, mas duas vulnerabilidades: fazer com que o código de ataque escape da “sandbox”, e explorar um bug do Chrome.

Outros desenvolvedores seguiram os passos da Google para tentar fazer suas aplicações mais seguras. No ano passado, por exemplo, a Adobe adicionou uma “sandbox” ao seu popular Reader.

Para ganhar os 20 mil dólares da Google no primeiro dia do Pwn2Own, o pesquisador deverá encontrar e explorar duas vulnerabilidades no código da Google. Apenas no segundo e no terceiro dias do concurso os pesquisadores podem utilizar um bug que não seja do Chrome –  um bug do Windows, digamos – para quebrar a “sandbox”.

Um ataque bem sucedido no segundo ou no terceiro dia ainda renderá 20 mil dólares ao pesquisador, mas apenas 10 mil virão da Google. A Tipping Point pagará os outros 10 mil.

Confiança

A participação da Google no Pwn2Own deste ano pode ser sinal da confiança que a empresa tem em seu browser. Embora o Chrome tenha sido alvo do Pwn2Own desde 2009, nenhum pesquisador conseguiu burlar o navegador e ganhar o prêmio.

IE, Firefox e Safari já foram vítimas dos últimos concursos – às vezes, em um embaraçosamente curto período de tempo. Em 2009, um pesquisador – um cientista de computação da Alemanha que deu apenas seu primeiro nome, Nils – ganhou a trifeta ao explorar todos os três browsers e levar para casa um total de 15 mil dólares, 5 mil para cada hack.

Charlie Miller, o único pesquisador a ganhar prêmios no Pwn2Own por três anos consecutivos, não tinha se comprometido a participar de novo, mas o prêmio de 20 mil dólares da Google chamou sua atenção.

“O Pwn2Own agora oferece 20 mil por um ataque ao Chrome”, disse Miller, pelo Twitter . “Deve ser difícil, que bom que o Mac OS X não usa “sandbox” em seu browser.”

Miller é uma autoridade em hacking de Mac – ele é coautor do livro The Mac Hacker’s Handbook, com Dino Daí Zovi, um vencedor do Pwn2Own de 2007 – e explorou o Safari em cada um dos últimos três anos. Como apontou, o Safari não usa “sandbox”.

A Tipping Point também vai organizar uma trilha de hacking em mobilidade, na qual os pesquisadores tentarão explorar brechas em smartphones com os sistemas Apple iOS, Android, Windows Phone 7 e RIM BlackBerry.

Ataques bem sucedidos a smartphones serão recompensados com 15 mil dólares.