Organizatori Inicijative Zero Day (ZDI) najavio događaj Pwn2Own 2019čije Učesnici su pozvani da pokažu radne tehnike za iskorištavanje ranije nepoznatih ranjivosti.
Događaj održat će se od 20. do 22. marta na konferenciji CanSecWest u Vancouveru. Veličina nagradnog fonda je više od dva i po miliona dolara.
Pwn2Own je kompjutersko hakersko takmičenje održava se godišnje na konferenciji o sigurnosti CanSecWest, počevši od 2007. godine.
Učesnici se suočavaju sa izazovom da iskoriste široko korišćeni softver i mobilne uređaje sa ranije nepoznatim ranjivostima.
Pobjednici takmičenja dobijaju napravu koju su eksplodirali, novčanu nagradu i "Masters" jaknu kojom se slavi godina pobjede.
Naziv "Pwn2Own" je izveden iz činjenice da učesnici moraju "pwn" ili hakovati uređaj da bi ga "posedovali" ili zaradili.
Takmičenje Pwn2Own služi da se demonstrira ranjivost široko korišćenih uređaja i softvera i takođe pruža kontrolnu tačku o napretku u oblasti bezbednosti od prethodne godine.
O Pwn2Own 2019
Ove godine hakovanje Linux kernela, kao i većina otvorenih projekata (nginx, OpenSSL, Apache httpd) isključeni su iz nominacija za nagradu.
Poslednjih godina Hakiranje je bilo ograničeno na demonstraciju ranjivosti Linux kernela zasnovane na ranjivosti Zero Day u 2017. što omogućava lokalnom korisniku da podigne svoje privilegije na sistemu.
Isto tako, Linux distribucija “Ubuntu” je eliminisana iz broja hakerskih okruženja. Od otvorenih projekata, samo pretraživači (Firefox, Chrome) i VirtualBox ostaju u nominacijama, ali eksploatacije za njih moraju biti demonstrirane u Windows okruženju.
Istovremeno, Dodata je nova kategorija nagrada za informacione sisteme za hakovanje automobila Tesla Model 3 budućem takmičenju, ukupan iznos isplata nagrada u kojem prelazi 900 hiljada dolara.
Nominacije povezane s Teslom uključuju stjecanje kontrole nad CAN sabirnicom, ostavljajući zlonamjerni softver aktivnim nakon ponovnog pokretanja, izvođenje napada na modem, tjuner, Wi-Fi, Bluetooth, infotainment sistem, autopilot i funkciju pametnog korištenja telefona kao ključa.
Najveća nagrada je 250 hiljada dolara, je predviđeno za izvršavanje upravljanog koda u kontekstu podsistema Gateway (povezuje sve informacione sisteme vozila), autopilota ili VCSEC (sigurnosni podsistem).
Za pokretanje kvara autopilota nudi se bonus od 50 hiljada dolara, za otključavanje brava, pokretanje motora bez ključa i kontrolu nad CAN sabirnicom – 100 hiljada, za dobijanje root pristupa infotainment sistemu 85 hiljada dolara.
O nagradama
Nominacije vezane za serverske tehnologije bile su ograničene na nagradu za hakovanje Microsoft Windows RDP-a (nagrada od 150 hiljada dolara).
u Predviđene su nagrade za iskorištavanje ranjivosti u korisničkim aplikacijama Adobe Reader (40 hiljada), Microsoft Office 365 ProPlus (60 hiljada) i Microsoft Outlook (100 hiljada).
Nominacije za napad na pretraživače traže se za Google Chrome (80K), Microsoft Edge (50, 60, 80K), Apple Safari (55, 65K) i Mozilla Firefox (40, 50K).
Od sistema virtuelizacije koji učestvuju u takmičenju, označeni su VirtualBox (35 hiljada), VMware Workstation (70 hiljada), VMware ESXi (150 hiljada) i Microsoft Hyper-V Client (250 hiljada).
Predviđeno odvojeno za nominaciju za eskalaciju privilegija kroz iskorištavanje ranjivosti u Windows kernelu (30 hiljada).
Konačno, nijedan Pwn2Own ne bi bio potpun bez krunisanja Master of Pwn. S obzirom na to da se redoslijed takmičenja odlučuje nasumičnim izvlačenjem, učesnici koji su u stanju da predstave sjajno istraživanje, ali su posljednji koji su se predstavili, dobiće manje novca jer naredni krugovi gube vrijednost.
Međutim, bodovi dodijeljeni za svaku uspješnu prijavu ne opadaju. Neko bi mogao imati loš ždrijeb i još skupiti više bodova.
Osoba ili tim sa najviše bodova na kraju takmičenja bit će okrunjeni za Master of Pwn, dobit će 65,000 ZDI nagradnih bodova
Dobrodošli u ovu novu aplikaciju. Bit ćemo pažljivi na ovaj novi resurs.
Nagrada od 150 hiljada dolara za hakovanje Windows-a je dvostruko zadovoljstvo koje nema poređenja!!!