Google vung tiền “thưởng đậm” cho… hacker

Tháng trước, Google tuyên bố sẽ bỏ ra 1 triệu USD để tài trợ cho cuộc thi hack thường niên Pwn2Own diễn ra tại Canada và sẽ thưởng cho hacker nào hack thành công vào trình duyệt Chrome của hãng. Và Google đã thực hiện lời hứa của mình ngay khi cuộc thi diễn ra.

Pwn2Own là cuộc thi giữa các hacker diễn ra thường niên tại thành phố Vancouver (Canada), nơi hacker tìm cách đột nhập vào các thiết bị và trình duyệt phổ biến nhất hiện nay.

Bên lề cuộc thi Pwn2Own, “gã khổng lồ tìm kiếm” đã tổ chức cuộc thi của riêng mình với tên gọi “Pwnium”, với giải thưởng cao nhất 60 ngàn USD cho hacker hack thành công và nhanh nhất trình duyệt web Chrome của mình.

Pwn2Own là cuộc thi hack được tổ chức thường niên

Google xem đây như là một tuyên bố rằng Google vui vẻ trả tiền cho các hacker khai thác và khám phá ra các lỗi trên trình duyệt Chrome, nhưng sau đó hacker phải cũng cấp thông tin chi tiết về lỗi mà mình đã tìm ra để Google có thể khắc phục kịp thời.

“Mục đích tài trợ của chúng tôi rất đơn giản: chúng tôi có thêm cơ hội để học tập khi phần mềm của chúng tôi bị khai thác và khám phá. Không chỉ chúng tôi có thể sửa chữa các lỗi, mà bằng cách nghiên cứu các lỗ hổng và kỹ thuật khai thác, chúng tôi sẽ có thêm khả năng để tăng cường mức độ bảo mật cho sản phẩm của mình, điều này cho phép Google bảo vệ tốt hơn cho người dùng” - Nhóm bảo mật của trình duyệt Google Chrome viết trên blog chính thức của hãng.

Trong khuôn khổ cuộc thi Pwn2Own năm ngoái, bên cạnh các trình duyệt Internet Explorer, Firefox và Safari đã bị các hacker “hạ gục” một cách nhanh chóng, Chrome là trình duyệt “bất khả xâm phạm” nên Google rất tự tin vào khả năng bảo mật trình duyệt web Chrome của mình.

Tuy nhiên, điều này đã không lặp lại tại cuộc thi năm nay, sau khi Sergey Glazunov, một sinh viên đại học của Nga đã hạ gục thành công trình duyệt Chrome sau khi khai thác lỗi “zero-day” trên trình duyệt này. Glazunov đã lập tức được Google trao tặng 60 ngàn USD, phần thưởng cao nhất mà mình đã công bố.

Glazunov là từng là thành viên của công đồng bảo mật của Chromium, mã nguồn được Google sử dụng để xây dựng trình duyệt Chrome, từng làm nhiệm vụ thu thập và phát hiện các lỗi gặp phải trên bộ mã nguồn này. Mặc dù chi tiết lỗi không được Glazunov công khai ra cộng đồng, tuy nhiên thông tin về lỗi đã được Glazunov cung cấp đầy đủ cho Google.

Glazunov không phải là người duy nhất thực hiện được điều này khi chỉ vài phút sau khi Glazunov hack thành công, Vupen, một công ty bảo mật của Pháp cũng đã khai thác thành công lỗi bảo mật hộp cát (sandbox) của Chrome để xâm nhập vào trình duyệt. Mặc dù Vupen không nhận được giải thưởng nào từ Google, tuy nhiên công ty này cũng đã thông báo chi tiết lỗi trên trình duyệt để giúp Google khắc phục lại lỗ hổng bảo mật này.

Chaoki Bekrar, trưởng nhóm nghiên cứu bảo mật của Vupen cho biết nhóm của mình đã mất 6 tuần để khám phá và khai thác lỗi trên Chrome, trước khi thành công thực sự tại cuộc thi năm nay. Bekrar thừa nhận rằng bất kỳ phần mềm nào, dù có bảo mật mạnh mẽ đến đâu cũng có thể bị phá vỡ nếu hacker có đủ động lực và trình độ.

Chrome đã bị khuất phục trong cuộc thi hack năm nay

Bekrar cho biết lý do mà Vupen nhắm đến trình duyệt Chrome để khai thác lỗ hổng bảo mật là vì đây là trình duyệt duy nhất “đứng vững” trong cuộc thi hack Pwn2Own năm ngoái. Năm ngoái, Vupen cũng đã công bố đoạn video hack thành công vào trình duyệt Chrome, tuy nhiên Google đã phủ nhận điều này và cho rằng Vupen chỉ khai thác lỗi từ plugin Flash chứ không phải từ bản thân Chrome.

Google cho biết những lỗi do các hacker khám phá ra trong cuộc thi năm nay sẽ được khắc phục ngay sau 24 giờ trong bản cập nhật mới nhất.

Google không phải là công ty duy nhất thường xuyên trao các giải thưởng cho hacker trong việc khai thác và khám phá lỗ hổng bảo mật trên sản phẩm của mình. Trước đây, Facebook, Microsoft hay Mozilla… cũng thường xuyên trao thưởng cho các hacker thực hiện được điều này. Thậm chí, nhiều công ty công nghệ còn mời các hacker này về đầu quân cho mình.

Trong cuộc thi “Pwnium” năm nay, Google đưa ra mức thưởng hấp dẫn với các cấp độ khác nhau, bao gồm:

- Phần thưởng 60.000 USD cho ai tấn công thành công vào trình duyệt Chrome mà không có quyền admin trên Windows 7 và chỉ khai thác các lỗi sẵn có trên Chrome.

- Giải thưởng 40.000 USD cho ai hack thành công trình duyệt Chrome, sử dụng ít nhất 1 lỗi từ trình duyệt này kết hợp với 1 lỗi từ hệ thống, mà không sử dụng quyền admin trên Windows 7.

- Giải thưởng 20.000 USD cho ai hack thành công trình duyệt Chrome không cần thông qua lỗi trên trình duyệt này, mà có thể khai thác lỗi từ các phần mềm thứ 3, như lỗi của plugin Flash, Windows hay driver thiết bị…

Nguồn dantri.com.vn