Організатори Ініціативи «Нульовий день» (ЗДІ) оголосив про подію Pwn2Own 2019чиї Учасникам пропонується продемонструвати робочі методи для використання раніше невідомих вразливостей.
Подія відбудеться 20-22 березня на конференції CanSecWest у Ванкувері. Розмір призового фонду становить понад два з половиною мільйони доларів.
Pwn2Own - це конкурс на злом комп’ютерів щорічно проводиться на конференції безпеки CanSecWest, починаючи з 2007 року.
Учасникам пропонується використовувати широко використовуване програмне забезпечення та мобільні пристрої з досі невідомими вразливими місцями.
Переможці конкурсу отримують вибуховане пристрій, грошовий приз та куртку "Майстри", які святкують рік їхньої перемоги.
Назва "Pwn2Own" походить від того, що учасники повинні "розіграти" або зламати пристрій, щоб "володіти" або виграти його.
Конкурс Pwn2Own служить для демонстрації вразливості широко використовуваних пристроїв та програмного забезпечення, а також забезпечує контрольний пункт прогресу в галузі безпеки з попереднього року.
Про Pwn2Own 2019
Цього року злом ядра Linux, а також більшість відкритих проектів (nginx, OpenSSL, Apache httpd) були виключені з номінацій.
В останні роки злом обмежився демонстрацією вразливості ядра Linux на основі вразливостей Zero Day у 2017 році що дозволяє локальному користувачеві підвищувати свої привілеї в системі.
Так само, дистрибутив Linux "Ubuntu" був виключений із числа хакерських середовищ. З відкритих проектів лише браузери (Firefox, Chrome) та VirtualBox залишаються в номінаціях, але подвиги для них повинні бути продемонстровані в середовищі Windows.
Водночас була додана нова категорія нагород для інформаційних систем злому автомобілів Tesla Model 3 до майбутніх змагань загальна сума виплат призів перевищує 900 тисяч доларів.
Номінації, пов’язані з Tesla, передбачають отримання контролю над шиною CAN, залишаючи шкідливе програмне забезпечення активним після перезавантаження, виконуючи атаки на модем, тюнер, Wi-Fi, Bluetooth, інформаційно-розважальну систему, автопілот та використання смартфона як ключа.
Найбільший приз - 250 XNUMX доларів США, передбачений для виконання керованого коду в контексті підсистем Шлюзу (зв’язує всі інформаційні системи транспортних засобів), Автопілота або VCSEC (підсистема безпеки).
Щоб ініціювати несправність автопілота, пропонується бонус в 50 XNUMX доларів, щоб розблокувати замки, запустити двигун без ключа і отримати контроль над шиною CAN - 100 85, щоб отримати кореневий доступ до інформаційно-розважальної системи XNUMX XNUMX доларів.
Про них нагороджують
Номінації, пов’язані із серверними технологіями, обмежувались нагородою за злом Microsoft Windows RDP (приз у розмірі 150 XNUMX доларів).
The Нагороди за використання вразливостей у програмах користувача передбачені Adobe Reader (40 тис.), Microsoft Office 365 Pro Plus (60 тис.) Та Microsoft Outlook (100 тис.).
Номінації на браузерні атаки заявляються для Google Chrome (80 50), Microsoft Edge (60, 80 та 55 65), Apple Safari (40 та 50 XNUMX) та Mozilla Firefox (XNUMX та XNUMX XNUMX).
З систем віртуалізації, що беруть участь у конкурсі, перевіряються VirtualBox (35 70), VMware Workstation (150 250), VMware ESXi (XNUMX XNUMX) та Microsoft Hyper-V Client (XNUMX XNUMX).
Надано окремо для номінації на ескалацію привілеїв через використання вразливостей в ядрі Windows (30 тис.).
Зрештою, жоден Pwn2Own не був би повним без коронування Майстра Pwn. Оскільки порядок проведення конкурсу визначається випадковим розіграшем, учасники, які можуть подати великі дослідження, але подають останні, отримають менше грошей, оскільки наступні раунди втрачають цінність.
Однак бали, що присуджуються за кожен успішний вступ, не знижуються. Хтось може мати погану нічию і все одно набрати більше очок.
Людина або команда, яка набрала найбільше балів в кінці змагань, буде коронований майстром Pwn, отримає 65,000 балів винагороди ZDI
Ласкаво просимо до цієї нової програми. Ми будемо чекати з цим новим ресурсом.
приз у розмірі 150 тисяч доларів за злом вікон - це подвійне задоволення, яке не має порівняння !!!