Programem objęte będą luki zarówno w samej przeglądarce Chrome, jak i otwartym kodzie wykorzystywanym w projekcie Chromium. O jego uruchomieniu poinformował właśnie w oficjalnym blogu Chromium Chris Evans (jeden z członków zespołu odpowiedzialnego za bezpieczeństwo przeglądarki Google'a). To właśnie w tym wpisie podano, jakiej wysokości będą nagrody - przy czym wyższa kwota została zapisana jako "leet" (w hakerskim slangu to tyle co "elita", słowo to bywa często zapisywane też "l33t" lub właśnie 1337).

Google zamierza płacić za wszystkie nieznane wcześniej błędy wykryte w Chrome lub Chromium, a także w pluginach do tych aplikacji, firmowanych przez Google (czyli np. Google Gears). Na razie projekt nie dotyczy systemu operacyjnego Chrome OS - ale Evans nie wyklucza, że z czasem program nagród zostanie rozszerzony również o to oprogramowanie. Priorytetowo będą traktowane luki o wysokim lub krytycznym statusie zagrożenia - ale informacje o innych też będą rozpatrywane.

"Pomóżcie nam szukać dziur"

"Mamy w Google całą masę świetnych programistów, próbujących całymi dniami włamywać się i szukać błędów w Chrome, ale wiemy, że na zewnątrz też jest sporo doskonałych fachowców. Chcemy, by nam trochę pomogli. Mamy świadomość, że zawsze można zrobić coś więcej" - tłumaczy przedstawiciel koncernu.

"Internet Explorer, Safari, Firefox - te przeglądarki są na rynku od lat. Ale Chrome to nowy zawodnik, który musi zostać porządnie sprawdzony. Nic dziwnego, że Google chce przyciągnąć uwagę specjalistów" - komentuje Pedram Amini, menedżer zespołu badawczego TippingPoint (działającego w ramach koncernu 3M), który prowadzi najpopularniejszy obecnie program skupowania informacji o lukach w oprogramowaniu - czyli Zero Day Initiative (ZDI).

Amini dodaje, że inicjatywa Google nie jest specjalnym novum, bo już wcześniej inne firmy płaciły specjalistom za informacje o lukach w swoich produktach. Ale Google jest z pewnością największym producentem oprogramowania, jaki do tej pory zdecydował się na taki krok. Swego czasu specjaliści spodziewali się, że z podobną inicjatywą wystąpi Microsoft - ale koncern z Redmond konsekwentnie nie zgadzał się na płacenie za informacje o błędach. "To dobra decyzja, która z pewnością przyniesie Google sporo pożytku. Kilka firm robi coś podobnego - ale propozycja dotycząca Chrome jest obecnie najbardziej interesująca" - komentuje przedstawiciel TippingPoint.

Mozilla też płaci

Dodajmy, że podobną inicjatywę od 2004 prowadzi również Mozilla - organizacja płaci po 500 USD za każdy zgłoszony błąd w jej oprogramowaniu (czyli np. w przeglądarce Firefox lub programie pocztowym ThunderBird). Przedstawiciele Mozilli nie chcą jednak komentować działań Google - odmówili też podania informacji o tym, jak rozwija się ich własny projekt (pytania w tej sprawie przesłali do twórców Firefoksa nasi koledzy z amerykańskiego Computerworlda).

"Nagrody dają badaczom motywację. Jestem pewien, że jeśli ktoś zamierza szukać błędów w oprogramowaniu, to wybierze do tego aplikację, której producent obiecuje nagrody za każdy wykryty błąd. Takie rozwiązanie naprawdę działa" - mówi Amini. Dodaje też, że w ramach projektu Zero Day Initiative do tej pory wykryto (i odpowiednio nagrodzono) wiele błędów w przeglądarkach. "Nie wydaje nam się jednak, by działania Google były dla nas konkurencyjne. My do tej pory skupialiśmy się głównie na INternet Explorerze i Firefoksie (z uwagi na ich popularność), a także na Safari - bo to domyślna przeglądarka w Mac OS X, która na dodatek jest też standardem w iPhone'ie" - wyjaśnia przedstawiciel TippingPoint. Co ciekawe, z informacji, które przedstawił Amini wynika, że aż pięć z ośmiu załatanych ostatnio przez Microsoft błędów w IE to były właśnie luki zgłoszone w ramach ZDI.

"Chrome to dla nas na razie nieznane terytorium. Nie zdecydowaliśmy jeszcze np. czy uwzględnić tę przeglądarkę podczas kolejnej edycji organizowanego przez nas podczas konferencji CanSecWest konkursy PWN2OWN" - wyjaśnia Pedram Amini. Przypomnijmy: uczestnicy PWN2OWN mają za zadanie w określonym czasie włamać się do komputerów z najróżniejszymi systemami operacyjnymi oraz aplikacjami dodatkowymi.

Warto dodać, że Google i Mozilla płacą za błędy dość kiepsko - standardowe w ich programach 500 USD to niewiele w porównaniu z nagrodami wypłacanymi w ramach Zero Day Initiative, które sięgają zwykle 5000 USD. Ale nawet stawki ZDI to wciąż niewiele w porównaniu z cenami, za które informacje o lukach w popularnych przeglądarkach są sprzedawane na czarnym rynku - tam autorzy wirusów czy inni cyberprzestępcy płacą czasami nawet po 30 tys. USD za błąd.

Kto pierwszy, ten lepszy

W ramach swojego programu Google nie zabrania specjalistom opublikowania pełnych informacji o błędzie - z tym, że mogą oni to zrobić dopiero po załataniu luki w Chrome. Jest jeszcze jeden warunek - Google musi jako pierwszy dowiedzieć się o problemie (jeśli błąd zostanie wcześniej ujawniono w inny sposób, jego odkrywca nie dostanie ani centa). Jeśli zaś zdarzy się, że dwie lub więcej osób odkryją niezależnie od siebie tę samą lukę, to obowiązuje zasada pierwszeństwa - kto pierwszy zgłosi ją koncernowi, ten dostanie nagrodę.

Więcej informacji znaleźć można w blogu projektu Chromium.