Nulio dienos iniciatyvos organizatoriai (ZDI) paskelbė „Pwn2Own 2019“ renginįkurių Dalyviai kviečiami pademonstruoti darbo metodus, kad būtų galima išnaudoti anksčiau nežinomus trūkumus.
Šis renginys vyks kovo 20–22 dienomis „CanSecWest“ konferencijoje Vankuveryje. Prizinio fondo dydis yra daugiau nei pustrečio milijono dolerių.
„Pwn2Own“ yra kompiuterių įsilaužimų konkursas kasmet rengiama „CanSecWest“ saugumo konferencijoje, prasidedančioje 2007 m.
Dalyviams metama iššūkis išnaudoti plačiai naudojamą programinę įrangą ir mobiliuosius įrenginius, turinčius iki šiol nežinomų pažeidžiamumų.
Konkurso nugalėtojai gauna sprogusį įrenginį, piniginį prizą ir „Masters“ striukę, švenčiančią jų pergalės metus.
Pavadinimas „Pwn2Own“ yra kilęs iš to, kad dalyviai turi „pagauti“ arba nulaužti įrenginį, norėdami jį „turėti“ ar laimėti.
Konkursas „Pwn2Own“ skirtas plačiai naudojamų įrenginių ir programinės įrangos pažeidžiamumui parodyti, taip pat pateikia saugumo taškų, pasiektų nuo praėjusių metų, kontrolės punktą.
Apie „Pwn2Own 2019“
Šiais metais „Linux“ branduolio įsilaužimas ir dauguma atvirų projektų („nginx“, „OpenSSL“, „Apache httpd“) nebuvo įtraukti į apdovanojimų nominacijas.
Pastaraisiais metais įsilaužimas apsiribojo „Linux Kernel“ pažeidžiamumo, pagrįsto „Zero Day“ pažeidžiamumais, demonstravimu 2017 m. tai leidžia vietiniam vartotojui pakelti savo privilegijas sistemoje.
Lygiai taip pat iš įsilaužimo aplinkų buvo pašalintas „Linux“ paskirstymas „Ubuntu“. Iš atvirų projektų - tik naršyklės („Firefox“, „Chrome“) ir „VirtualBox“ lieka nominacijose, tačiau jų išnaudojimas turi būti demonstruojamas „Windows“ aplinkoje.
Tuo pačiu metu buvo pridėta nauja „Tesla Model 3“ automobilių įsilaužimo informacinių sistemų apdovanojimų kategorija būsimoms varžyboms, bendra prizų išmoka viršija 900 tūkst.
Su „Tesla“ susijusios nominacijos apima galimybę valdyti CAN magistralę, paliekant kenkėjišką programą po perkrovimo, atakas prieš modemą, derintuvą, „Wi-Fi“, „Bluetooth“, informacijos ir pramogų sistemą, autopilotą ir naudojimąsi telefonu. protingas kaip raktas.
Didžiausias prizas yra 250 XNUMX USD, yra skirtas valdomam kodui vykdyti vartų posistemio (jungia visas transporto priemonės informacines sistemas), „Autopiloto“ arba „VCSEC“ (saugos posistemio) kontekste.
Norėdami inicijuoti autopiloto gedimą, siūloma 50 tūkstančių dolerių premija, atrakinti spynos, užvesti variklį be rakto ir kontroliuoti CAN magistralę. - 100 85, norint gauti pagrindinę prieigą prie informacijos ir pramogų sistemos XNUMX XNUMX USD.
Apie juos apdovanojo
Nominacijos, susijusios su serverių technologijomis, apsiribojo „Microsoft Windows RDP“ įsilaužimo apdovanojimu (150 XNUMX USD apdovanojimas).
The Pateikiami apdovanojimai už vartotojo programų pažeidžiamumų panaudojimą „Adobe Reader“ (40 tūkst.), „Microsoft Office 365 ProPlus“ (60 tūkst.) Ir „Microsoft Outlook“ (100 tūkst.).
Naršyklės atakų nominacijos reikalingos „Google Chrome“ (80 50), „Microsoft Edge“ (60, 80 ir 55 65), „Apple Safari“ (40 ir 50 XNUMX) ir „Mozilla Firefox“ (XNUMX ir XNUMX XNUMX).
Iš konkurse dalyvaujančių virtualizacijos sistemų pažymėtos „VirtualBox“ (35 tūkst.), „VMware Workstation“ (70 tūkst.), „VMware ESXi“ (150 tūkst.) Ir „Microsoft Hyper-V Client“ (250 tūkst.).
Pateikta atskirai nominacijai už privilegijų eskalavimą naudojant Windows branduolio pažeidžiamumus (30 tūkst.).
Galų gale, nė vienas „Pwn2Own“ nebūtų baigtas be karūnavimo „Pwn Master“. Kadangi konkurso tvarka nustatoma atsitiktiniu būdu, dalyviai, kurie gali pateikti puikius tyrimus, bet yra paskutiniai, gaus mažiau pinigų, nes kiti etapai praranda vertę.
Tačiau už kiekvieną sėkmingą konkursą skiriami taškai nesumažėja. Kažkas gali turėti blogą lygiosios ir vis tiek surinkti daugiau taškų.
Daugiausiai taškų surinkęs asmuo ar komanda konkurso pabaigoje bus vainikuotas „Pwn Master“, gaus 65,000 XNUMX ZDI premijos taškų
Sveiki atvykę į šią naują programą. Lauksime šio naujo šaltinio.
150 tūkstančių dolerių prizas už įsilaužimą į langus yra dvigubas pasitenkinimas, kurio negalima palyginti !!!