1453
جزئیات وبلاگ
گوگل پاداش هک کروم بوک را به ۱۰۰ هزار دلار افزایش داد
کمپانی گوگل در طول ۶ سال گذشته، جمعا مبلغی بالغ بر ۶ میلیون دلار را برای جایزه دادن به محققان امنیت و هکرهایی که توانستهاند وصلهای امنیتی در نرمافزارهای مختلف این شرکت پیدا کنند، صرف کرده است. تنها دو میلیون دلار از این مبلغ مربوط به سال ۲۰۱۵ بوده است. گوگل این برنامه را سخاوت باگ (Bug Bounty) نامیده و از سال ۲۰۱۰ تاکنون آن را دنبال کرده است. آمار ۶ میلیون دلاری پاداشها در این ۶ سال نشان میدهد که این کمپانی تاکنون در ترغیب هکرها برای یافتن نقاط ضعف نرمافزاهایش بسیار موفق بوده است.
گوگل چند روز پیش برنامهی پاداش کروم خود را با دو تغییر جدید بیان کرد. یکی افزایش میزان پاداش در نظر گرفته شده برای هک کروم بوک، و دیگری هم یک Bug Bounty جدید. Bug Bountyها راه بسیار خوبی برای افزایش امنیت هستند و در کنار سیستمهای داخلی امنیتی، موجب نفوذ ناپذیری نرمافزارهای مختلف در برابر هکرها میشوند. این پاداشها نه تنها باعث میشوند که افراد و گروههای هکر، رخنههای امنیتی موجود در نرمافزارها را شناسایی کنند، بلکه موجب میشود که این نقاط ضعف را در زمانی مناسب، پیش از هک شدن سیستم و رسیدن ضررهای مالی هنگفت به کمپانی، بیان کنند؛ در حالی که اگر این پاداش نبود میتوانستند از این نقاط ضعف برای نفوذ به سیستم، سوءاستفاده کرده یا آنها را به افراد یا گروههای خرابکار دیگر بفروشند.
سال گذشته کمپانی گوگل، یک جایزهی ۵۰ هزار دلاری برای افرادی که بتوانند به یک کرومبوک نفوذ کرده و در حالت مهمان به اطلاعات اساسی آن دست یابند تعیین کرد؛ اما مسئولان امنیتی گوگل میگویند که تاکنون هیچ فردی مدرکی مبنی بر هک یک کروم بوک برای آنها ارسال نکرده است. بنابراین گوگل برای ترغیب هکرها به تلاش برای شکستن قفلهای امنیتی کروم بوک، این بار مبلغ جایزه را دو برابر کرده است. این کمپانی واقعا دوست دارد هکرها نقاط ضعفی در سیستمعامل کروم را پیدا کنند؛ چرا که با وجود چنین جایزهای به احتمال بسیار زیاد آن را به گوگل گزارش خواهند کرد. گوگل در این مورد میگوید:
«همان طور که همه میدانید، تحقیق بزرگ، شایستهی جایزهای بزرگ است. بنابراین ما مبلغ جایزه را ۶ رقمی کرده و در تمام طول سال آمادهی پرداخت آن به افراد مورد نظر هستیم.»
گوگل همچنین جایزهای برای عبور از سد حفاظت دانلود در مرورگر کروم تعیین کرده است. به عبارتی دیگر، گوگل حاضر است به هر فردی که بتواند از سد ویژگیهای حفاظت دانلود و مرورگری امن (Safe Browsing) در کروم بگذرد جایزه بدهد. البته این کار شرایطی دارد که در زیر آمده است:
۱- ویژگی مرورگری امن باید در مرورگر کروم فعال بوده و مرورگر به پایگاه دادهی بروزی متصل باشد (این مورد ممکن است تا چند ساعت پس از نصب یک نسخهی جدید مرورگر کروم به طول بینجامد).
۲- سرورهای مرورگری امن باید در شبکهی مورد نظر در دسترس باشند.
۳- باینری باید در محلی که کاربر بیشترین استفاده را میکند (مثلا پوشه دانلودها) جای داده شود.
۴- نمیتوان از کاربر مورد نظر درخواست کرد که پسوند فایل را تغییر داده یا آن را از لیست دانلودهای مسدود شده بازیابی کند.
۵- هر حرکت انجام شده، باید برای اغلب کاربران منطقی و محتمل باشد. برای مثال انجام این کار با روشی غیر از سه مورد «کلیک کردن، باز کردن فایل زیپ و بارگذاری exe» بعید است که مورد قبول واقع شود. البته در هر صورت تلاشهای تمامی افراد به صورت مورد به مورد بررسی میشوند؛ اما نمیتوان چنین فردی را موفق در گذر از هشدارها خطاب کرد.
۶- دانلود مورد نظر نباید یک پینگ حفاطت دانلود را بازپس فرستاده تا مرورگری را امن جلوه دهد. پینگهای حفاظت دانلود با چک کردن شمارندهی قرار گرفته در مرورگر قابل مشاهده هستند. اگر شمارندهای افزایش یافته باشد، به معنای موفقیت در ارسال چک (Check) است (به استثنای شمارندهی 7# که نشاندهندهی چکهای ناموفق در ارسال است).
۷- دامنهی میزبانی باینری نمیتواند یک لیست خالی باشد. این مورد نیز در مرورگر قابل بررسی است.
در مرورگری امن، لیستهایی از آدرسهای اینترنتی حاوی بدافزار یا محتوای فیشینگ خطرناک برای مرورگرهای کروم، فایرفاکس و سافاری و ارائهدهندگان خدمات اینترنتی جمعآوری میشود و پایگاه دادهای عظیم از وبسایتهای خطرناک به دست میآید که برای حفاظت کاربران بسیار موثر است. این سرویس از طریق API عمومی یا به صورت مستقیم با تغییر دستی در این آدرس برای چک کردن امنیت وبسایت مورد نظر شما در دسترس است.
گوگل پاداش هک کروم بوک را به ۱۰۰ هزار دلار افزایش داد