รายงานข่าวล่าสุด กูเกิ้ล (Google) เปิดแคมเปญจ์ให้เงินรางวัลสำหรับใครที่ค้นพบช่องโหว่อันตรายในบราวเซอร์โครม (Chrome) โดยขั้นต่ำของเงินรางวัลเริ่มต้นที 500 เหรียญฯ หรือประมาณ 17,000 บาท เอ้า...แฮคเกอร์ทีทราบเรื่อง เริ่มต้นเจาะโครมได้แล้วตั้งแต่วันนี้
กูเกิ้ลกำลังยื่นข้อเสนอให้เงินรางวัลกับแฮคเกอร์ที่สามารถค้นพบช่องโหว่ ร้ายแรงในChrome โปรแกรมบราวเซอร์ของทางบริษัท ซึ่งสำหรับการทดลองโปรแกรมอัดฉีดเงินรางวัลในลักษณะดังกล่าว ก็เพื่อเป็นแรงดึงดูดนักวิจัยภายนอกโปรเจ็กต์โครมให้ช่วยฟีดแบ็คระบบรักษา ความปลอดภัยของบราวเซอร์นั่นเอง โดยกูเกิ้ลกล่าวว่า ทางบริษัทจะจ่ายขั้นต่ำสำหรับข้อผิดพลาดที่ค้นพบเป็นเงิน 500 เหรียญฯ ไปจนถึงสูงสุด 1,337 เหรียญฯ (ประมาณ 45,000 บาท) ในกรณีที่เป็นข้อผิดพลาดร้ายแรงมาก ทั้งนี้ข้อผิดพลาดหนึ่งๆ ของการทำงานสามารถแจกแจงได้หลายช่องโหว่
"ยิ่งผู้ใช้เข้ามายำโค้ด Chromium มากเท่าไร บราวเซอร์ที่ส่งมอบให้กับผู้ใช้หลายล้านคนทั่วโลกก็จะมีความปลอดภัยมากยิ่ง ขึ้น" คริส อีแวนซ์ Google Chrome Security โพสต์ไว้ในบล็อกประกาศ แคมเปญจ์ดังกล่าวเมื่อวานนี้ กูเกิ้ลพยายามผลักดันโครม และระบบรักษาความปลอดภัยของบราวเซอร์ตัวนี้อย่างเต็มที่ โดยในช่วงสัปดาห์ที่ผ่านมา ผู้ใช้จะสังเกตเห็นว่า มีการติดแบนเนอร์โครมอัพเดตบนหน้าโฮมเพจของกูเกิ้ลด้วย ซึ่งเป็นเวอร์ชันล่าสุดที่ได้มีการแก้ไขระบบรักษาความปลอดภัย และอัพเดตคุณสมบติใหม่ ตลอดจนการป้องกันที่แข็งแรงยิ่งขึ้นสำหรับกลไกการทำงานในลักษณะ cross-site scripting (XSS)
อย่างไรก็ตาม แคมเปญจ์ดังกล่าวอาจะเป็นดาบสองคม เนื่องจากเป็นการส่งเมสเสจที่ผิด เพราะมันกลายเป็นว่า นักวิจัย หรือกลุ่มที่สนับสนุนบราวเซอร์ตัวนี้หันไปพยายามหาช่องโหว่ เพื่อแลกเปลี่ยนกับเงินรางวัลชดเชยค่าเหนื่อย ซึ่งความจริง บริษัทบางแห่งก็ใช้วิธีนี้เหมือนกัน อย่างเช่น ZDI และ iDefense ต่างก็จ่ายเงินให้กับนักวิจัย หรือแฮคเกอร์ที่พบบั๊กมานานแล้ว ผู้เชี่ยวชาญให้ความเห็นต่อแคมเปญจ์นี้ว่า การโน้มน้าวให้นักวิจัยพยายามเจาะซอฟต์แวร์ เพื่อว่า เจ้าของซอฟต์แวร์จะได้แก้ปัญหาก่อนที่ผู้ไม่หวังดีจะนำมันไปใช้ แม้จะเป็นไอเดียที่ดี แต่ในขณะเดียวกัน มันอาจจะเป็นการเปิดช่องที่ทำให้ผู้ไม่หวังดีได้รู้ว่า มันมีช่องโหว่อยู่ที่นั่นด้วย ทั้งๆ ที่ไม่ทราบมาก่อน และผู้ไม่หวังดีเหล่านั้นก็จะพยายามหาเงินจากช่องโหว่ที่เฉลยออกมาต่อไป อีกประเด็นหนึ่งก็คือ โปรแกรมให้รางวัลสำหรับการพบบั๊กในโปรแกรมลักษณะนี้ ไม่ได้ป้องกันการเกิดปัญหาจากช่องโหว่ที่พบทันที หรือที่เรียกว่า zero-day จากผู้ที่ไม่ได้เข้าร่วมอยู่ดี
ข้อมูลจาก: http://www.arip.co.th/news.php?id=410791
กูเกิ้ลกำลังยื่นข้อเสนอให้เงินรางวัลกับแฮคเกอร์ที่สามารถค้นพบช่องโหว่ ร้ายแรงในChrome โปรแกรมบราวเซอร์ของทางบริษัท ซึ่งสำหรับการทดลองโปรแกรมอัดฉีดเงินรางวัลในลักษณะดังกล่าว ก็เพื่อเป็นแรงดึงดูดนักวิจัยภายนอกโปรเจ็กต์โครมให้ช่วยฟีดแบ็คระบบรักษา ความปลอดภัยของบราวเซอร์นั่นเอง โดยกูเกิ้ลกล่าวว่า ทางบริษัทจะจ่ายขั้นต่ำสำหรับข้อผิดพลาดที่ค้นพบเป็นเงิน 500 เหรียญฯ ไปจนถึงสูงสุด 1,337 เหรียญฯ (ประมาณ 45,000 บาท) ในกรณีที่เป็นข้อผิดพลาดร้ายแรงมาก ทั้งนี้ข้อผิดพลาดหนึ่งๆ ของการทำงานสามารถแจกแจงได้หลายช่องโหว่
"ยิ่งผู้ใช้เข้ามายำโค้ด Chromium มากเท่าไร บราวเซอร์ที่ส่งมอบให้กับผู้ใช้หลายล้านคนทั่วโลกก็จะมีความปลอดภัยมากยิ่ง ขึ้น" คริส อีแวนซ์ Google Chrome Security โพสต์ไว้ในบล็อกประกาศ แคมเปญจ์ดังกล่าวเมื่อวานนี้ กูเกิ้ลพยายามผลักดันโครม และระบบรักษาความปลอดภัยของบราวเซอร์ตัวนี้อย่างเต็มที่ โดยในช่วงสัปดาห์ที่ผ่านมา ผู้ใช้จะสังเกตเห็นว่า มีการติดแบนเนอร์โครมอัพเดตบนหน้าโฮมเพจของกูเกิ้ลด้วย ซึ่งเป็นเวอร์ชันล่าสุดที่ได้มีการแก้ไขระบบรักษาความปลอดภัย และอัพเดตคุณสมบติใหม่ ตลอดจนการป้องกันที่แข็งแรงยิ่งขึ้นสำหรับกลไกการทำงานในลักษณะ cross-site scripting (XSS)
อย่างไรก็ตาม แคมเปญจ์ดังกล่าวอาจะเป็นดาบสองคม เนื่องจากเป็นการส่งเมสเสจที่ผิด เพราะมันกลายเป็นว่า นักวิจัย หรือกลุ่มที่สนับสนุนบราวเซอร์ตัวนี้หันไปพยายามหาช่องโหว่ เพื่อแลกเปลี่ยนกับเงินรางวัลชดเชยค่าเหนื่อย ซึ่งความจริง บริษัทบางแห่งก็ใช้วิธีนี้เหมือนกัน อย่างเช่น ZDI และ iDefense ต่างก็จ่ายเงินให้กับนักวิจัย หรือแฮคเกอร์ที่พบบั๊กมานานแล้ว ผู้เชี่ยวชาญให้ความเห็นต่อแคมเปญจ์นี้ว่า การโน้มน้าวให้นักวิจัยพยายามเจาะซอฟต์แวร์ เพื่อว่า เจ้าของซอฟต์แวร์จะได้แก้ปัญหาก่อนที่ผู้ไม่หวังดีจะนำมันไปใช้ แม้จะเป็นไอเดียที่ดี แต่ในขณะเดียวกัน มันอาจจะเป็นการเปิดช่องที่ทำให้ผู้ไม่หวังดีได้รู้ว่า มันมีช่องโหว่อยู่ที่นั่นด้วย ทั้งๆ ที่ไม่ทราบมาก่อน และผู้ไม่หวังดีเหล่านั้นก็จะพยายามหาเงินจากช่องโหว่ที่เฉลยออกมาต่อไป อีกประเด็นหนึ่งก็คือ โปรแกรมให้รางวัลสำหรับการพบบั๊กในโปรแกรมลักษณะนี้ ไม่ได้ป้องกันการเกิดปัญหาจากช่องโหว่ที่พบทันที หรือที่เรียกว่า zero-day จากผู้ที่ไม่ได้เข้าร่วมอยู่ดี
ข้อมูลจาก: http://www.arip.co.th/news.php?id=410791