Einer äußerst proaktiven Herangehensweise an das Thema Sicherheit hat sich Softwarehersteller Google verschrieben: Schon seit geraumer Zeit hat man diverse Belohnungen für das Aufspüren von Sicherheitslücken ausgeschrieben, ein Programm in dessen Rahmen man laufend durchaus signifikante Prämien an SicherheitsexpertInnen auszahlt. Von Zeit zu Zeit legt man in dieser Hinsicht jedoch noch mal extra nach: Für die zweite Auflage des Pwnium-Wettbewerbs hat Google jetzt ein Preisgeld von insgesamt 2 Millionen US-Dollar ausgeschrieben.

Details

Damit dieses tatsächlich in vollem Umfang ausgezahlt wird, müsste sich allerdings schon eine kaum zu erwartende Vielzahl an Lücken auftun: Pro vollständigem Exploit - also dem Ausbruch aus den Beschränkungen des Browsers und dem Zugriff auf das zugrundeliegende System mit den Rechten der lokalen Nutzerin - sind 60.000 US-Dollar Preisgeld ausgeschrieben. Dies gilt nur, wenn die verwendeten Bugs tatsächlich in Chrome selbst zu finden sind, und nicht etwa in Windows oder Flash.

Unvollständig

Ein teilweiser Chrome-Exploit, der eine Chrome-Lücke mit anderen Bugs am System kombiniert, bringt immerhin auch noch 50.000 US-Dollar ein. Und 40.000 US-Dollar schreibt man für gänzlich durch Fehler in andere Komponenten erzielte Exploits, etwa in Flash oder einem Windows-Treiber, aus. Zudem lässt man sich für unvollständige Exploits eine "Panel-Entscheidung" über ein variables Preisgeld offen.

Ablauf

Der Pwnium-2-Wettbewerb wird am 10. Oktober am Rande der "Hack in The Box"-Sicherheitskonferenz in Malaysia stattfinden. Im März hatte es die erste Ausgabe dieses Wettbewerbs gegeben, bei der ein 19-jähriger Hacker unter dem Pseudonym "Pinkie Pie" gleich am ersten Tag mit einer komplexen Kombination aus unterschiedlichsten Lücken die 60.000 US-Dollar einsacken konnte.

Sicherheitsprogramm

Wie es in einem separaten Blog-Eintrag von Google heißt, sei in den letzten Monaten die Anzahl an aufgespürten Lücken im Chrome signifikant zurückgegangen. Dies führt man nicht zuletzt auf die - mithilfe der Community vorgenommenen - Sicherheitsverbesserungen an der eigenen Software zurück, wodurch das Aufspüren vollständiger Exploits immer schwerer werde.

Umfang

Die Reaktion von Google auf die veränderte Situation: Man hebt die für das laufende Sicherheitsprogramm ausgeschriebenen Prämien in mehreren Bereichen an, etwa für teilweise Exploits. Zudem verweist man darauf, dass vom "Vulnerability Rewards Program" auch viele Sicherheitslücken jenseits des Chrome abgedeckt werden, etwa in den Grafiktreibern der diversen Hersteller oder zahlreichen unter ChromeOS genutzten Linux-Komponenten. (apo, derStandard.at, 20.08.12)