گوگل پاداش هک کروم بوک را به ۱۰۰ هزار دلار افزایش داد

کمپانی گوگل در طول ۶ سال گذشته، جمعا مبلغی بالغ بر ۶ میلیون دلار را برای جایزه دادن به محققان امنیت و هکرهایی که توانسته‌اند وصله‌ای امنیتی در نرم‌افزارهای مختلف این شرکت پیدا کنند،  صرف کرده است. تنها دو میلیون دلار از این مبلغ مربوط به سال ۲۰۱۵ بوده است. گوگل این برنامه را سخاوت باگ (Bug Bounty) نامیده و از سال ۲۰۱۰ تاکنون آن را دنبال کرده است. آمار ۶ میلیون دلاری پاداش‌ها در این ۶ سال نشان می‌دهد که این کمپانی تاکنون در ترغیب هکرها برای یافتن نقاط ضعف‌ نرم‌افزاهایش بسیار موفق بوده است.

گوگل چند روز پیش برنامه‌ی پاداش کروم خود را با دو تغییر جدید بیان کرد. یکی افزایش میزان پاداش در نظر گرفته شده برای هک کروم بوک، و دیگری هم یک Bug Bounty جدید. Bug Bountyها راه بسیار خوبی برای افزایش امنیت هستند و در کنار سیستم‌های داخلی امنیتی، موجب نفوذ ناپذیری نرم‌افزارهای مختلف در برابر هکرها می‌شوند. این پاداش‌ها نه تنها باعث می‌شوند که افراد و گروه‌های هکر، رخنه‌های امنیتی موجود در نرم‌افزارها را شناسایی کنند، بلکه موجب می‌شود که این نقاط ضعف را در زمانی مناسب، پیش از هک شدن سیستم و رسیدن ضررهای مالی هنگفت به کمپانی‌، بیان کنند؛ در حالی که اگر این پاداش نبود می‌توانستند از این نقاط ضعف برای نفوذ به سیستم، سوء‌استفاده کرده یا آنها را به افراد یا گروه‌های خرابکار دیگر بفروشند.

سال گذشته کمپانی گوگل، یک جایزه‌ی ۵۰ هزار دلاری برای افرادی که بتوانند به یک کروم‌بوک نفوذ کرده و در حالت مهمان به اطلاعات اساسی آن دست یابند تعیین کرد؛ اما مسئولان امنیتی گوگل می‌گویند که تاکنون هیچ فردی مدرکی مبنی بر هک یک کروم بوک برای آنها ارسال نکرده است. بنابراین گوگل برای ترغیب هکرها به تلاش برای شکستن قفل‌های امنیتی کروم بوک، این بار مبلغ جایزه را دو برابر کرده است. این کمپانی واقعا دوست دارد هکرها نقاط ضعفی در سیستم‌عامل کروم را پیدا کنند؛ چرا که با وجود چنین جایزه‌ای به احتمال بسیار زیاد آن را به گوگل گزارش خواهند کرد. گوگل در این مورد می‌گوید:

«همان طور که همه می‌دانید، تحقیق بزرگ، شایسته‌ی جایزه‌ای بزرگ است. بنابراین ما مبلغ جایزه را ۶ رقمی کرده‌ و در تمام طول سال آماده‌ی پرداخت آن به افراد مورد نظر هستیم.»

گوگل همچنین جایزه‌ای برای عبور از سد حفاظت دانلود در مرورگر کروم تعیین کرده است. به عبارتی دیگر، گوگل حاضر است به هر فردی که بتواند از سد ویژگی‌های حفاظت دانلود و مرورگری امن (Safe Browsing) در کروم بگذرد جایزه بدهد. البته این کار شرایطی دارد که در زیر آمده است:

۱- ویژگی مرورگری امن باید در مرورگر کروم فعال بوده و مرورگر به پایگاه داده‌ی بروزی متصل باشد (این مورد ممکن است تا چند ساعت پس از نصب یک نسخه‌ی جدید مرورگر کروم به طول بینجامد).

۲- سرورهای مرورگری امن باید در شبکه‌ی مورد نظر در دسترس باشند.

۳- باینری باید در محلی که کاربر بیشترین استفاده را می‌کند (مثلا پوشه دانلودها) جای داده شود.

۴- نمی‌توان از کاربر مورد نظر درخواست کرد که پسوند فایل را تغییر داده یا آن را از لیست دانلودهای مسدود شده بازیابی کند.

۵- هر حرکت انجام شده، باید برای اغلب کاربران منطقی و محتمل باشد. برای مثال انجام این کار با روشی غیر از سه مورد «کلیک کردن، باز کردن فایل زیپ و بارگذاری exe» بعید است که مورد قبول واقع شود. البته در هر صورت تلاش‌های تمامی افراد به صورت مورد به مورد بررسی می‌شوند؛ اما نمی‌توان چنین فردی را موفق در گذر از هشدارها خطاب کرد.

۶- دانلود مورد نظر نباید یک پینگ حفاطت دانلود را بازپس فرستاده تا مرورگری را امن جلوه دهد. پینگ‌های حفاظت دانلود با چک کردن شمارنده‌ی قرار گرفته در مرورگر قابل مشاهده هستند. اگر شمارنده‌ای افزایش یافته باشد، به معنای موفقیت در ارسال چک (Check) است (به استثنای شمارنده‌ی 7# که نشان‌دهنده‌ی چک‌های ناموفق در ارسال است).

۷- دامنه‌ی میزبانی باینری نمی‌تواند یک لیست خالی باشد. این مورد نیز در مرورگر قابل بررسی است.

در مرورگری امن، لیست‌هایی از آدرس‌های اینترنتی حاوی بدافزار یا محتوای فیشینگ خطرناک برای مرورگرهای کروم، فایرفاکس و سافاری و ارائه‌دهندگان خدمات اینترنتی جمع‌آوری می‌شود و پایگاه داده‌ای عظیم از وبسایت‌های خطرناک به دست می‌آید که برای حفاظت کاربران بسیار موثر است. این سرویس از طریق API عمومی یا به صورت مستقیم با تغییر دستی در این آدرس برای چک کردن امنیت وبسایت مورد نظر شما در دسترس است.