Organizatori inicijative Zero Day (ZDI) najavio je događaj Pwn2Own 2019čije Sudionici su pozvani demonstrirati radne tehnike za iskorištavanje ranije nepoznatih ranjivosti.
Događaj održat će se od 20. do 22. ožujka na konferenciji CanSecWest u Vancouveru. Veličina nagradnog fonda veća je od dva i pol milijuna dolara.
Pwn2Own je natjecanje u računalnom hakiranju održava se godišnje na sigurnosnoj konferenciji CanSecWest, počevši od 2007. godine.
Sudionici su suočeni s izazovom da koriste široko korišteni softver i mobilne uređaje s do tada nepoznatim ranjivostima.
Pobjednici natječaja dobivaju eksplodirani uređaj, novčanu nagradu i jaknu "Masters" kojom slave godinu svoje pobjede.
Naziv "Pwn2Own" izveden je iz činjenice da sudionici moraju "pwn" ili hakirati uređaj kako bi ga "posjedovali" ili osvojili.
Natječaj Pwn2Own koristi se za demonstraciju ranjivosti široko korištenih uređaja i softvera, a također pruža kontrolnu točku napretka postignutog u sigurnosti od prethodne godine.
O Pwn2Own 2019
Ove godine hakiranje Linux kernela, kao i većina otvorenih projekata (nginx, OpenSSL, Apache httpd) izuzeti su iz nominacija za dodjelu nagrada.
Posljednjih godina, hakiranje je bilo ograničeno na demonstraciju ranjivosti Linux kernela na temelju ranjivosti Zero Day u 2017. godini što omogućuje lokalnom korisniku da podigne svoje privilegije na sustavu.
Isto tako, Linux distribucija "Ubuntu" eliminirana je iz broja hakerskih okruženja. Od otvorenih projekata, samo preglednici (Firefox, Chrome) i VirtualBox i dalje ostaju u nominacijama, ali njihova iskorištavanja moraju se demonstrirati u Windows okruženju.
U isto vrijeme, dodana je nova kategorija nagrada za informacijske sustave za hakiranje automobila Tesla Model 3 za buduće natjecanje, ukupan iznos isplaćenih nagrada veći od 900 tisuća USD.
Nominacije vezane uz Teslu uključuju stjecanje kontrole nad CAN Busom, ostavljanje zlonamjernog softvera aktivnim nakon ponovnog pokretanja, izvođenje napada na modem, tuner, Wi-Fi, Bluetooth, infotainment sustav, autopilot i upotrebu telefona. pametan kao ključ.
Najveća nagrada je 250 XNUMX USD, predviđen je za izvršavanje upravljanog koda u kontekstu Gateway podsustava (povezuje sve informacijske sustave vozila), Autopilot ili VCSEC (sigurnosni podsustav).
Za pokretanje kvara autopilota nudi se bonus od 50 tisuća dolara za otključavanje brava, pokretanje motora bez ključa i stjecanje kontrole nad CAN sabirnicom - 100, za pristup osnovnom informacijsko-zabavnom sustavu 85 dolara.
O njima nagrađeni
Nominacije povezane s poslužiteljskim tehnologijama bile su ograničene na nagradu Microsoft Windows RDP za hakiranje (nagradu od 150 XNUMX USD).
Las Predviđene su nagrade za iskorištavanje ranjivosti u korisničkim aplikacijama Adobe Reader (40 tisuća), Microsoft Office 365 Pro Plus (60 tisuća) i Microsoft Outlook (100 tisuća).
Nominacije za napade preglednika potražuju se za Google Chrome (80 50), Microsoft Edge (60, 80 i 55 65), Apple Safari (40 i 50 XNUMX) i Mozilla Firefox (XNUMX i XNUMX XNUMX).
Od sustava za virtualizaciju koji sudjeluju u natjecanju provjeravaju se VirtualBox (35 70), VMware Workstation (150 250), VMware ESXi (XNUMX XNUMX) i Microsoft Hyper-V Client (XNUMX XNUMX).
Odvojeno za nominaciju za eskalaciju privilegija iskorištavanjem ranjivosti u Windows jezgri (30 tisuća).
U konačnici, nijedan Pwn2Own ne bi bio potpun bez krunisanja za Master Pwna. Budući da se redoslijedom natjecanja odlučuje slučajnim izvlačenjem, sudionici koji mogu predati sjajna istraživanja, ali su zadnji koji ih prijave, dobit će manje novca jer sljedeći krugovi gube na vrijednosti.
Međutim, bodovi dodijeljeni za svaki uspješan ulazak ne padaju. Netko bi mogao imati loš remi i još uvijek skupiti više bodova.
Osoba ili tim s najviše bodova na kraju natjecanja bit će okrunjeni za Master of Pwn-a, dobit će 65,000 XNUMX ZDI bodova