Linux було вилучено з номінацій Pwn2Own 2019, але додано до Tesla

PWN2OWN

Організатори Ініціативи «Нульовий день» (ZDI) оголосив про подію Pwn2Own 2019чиї Учасникам пропонується продемонструвати робочі методи для використання раніше невідомих вразливостей.

Подія відбудеться 20-22 березня на конференції CanSecWest у Ванкувері. Розмір призового фонду становить понад два з половиною мільйони доларів.

Pwn2Own - це конкурс на злом комп’ютерів щорічно проводиться на конференції безпеки CanSecWest, починаючи з 2007 року.

Учасникам пропонується використовувати широко використовуване програмне забезпечення та мобільні пристрої з досі невідомими вразливими місцями.

Переможці конкурсу отримують вибуховане пристрій, грошовий приз та куртку "Майстри", які святкують рік їхньої перемоги.

Назва "Pwn2Own" походить від того, що учасники повинні "розіграти" або зламати пристрій, щоб "володіти" або виграти його.

Конкурс Pwn2Own служить для демонстрації вразливості широко використовуваних пристроїв та програмного забезпечення, а також забезпечує контрольний пункт прогресу в галузі безпеки з попереднього року.

Про Pwn2Own 2019

Цього року злом ядра Linux, а також більшість відкритих проектів (nginx, OpenSSL, Apache httpd) були виключені з номінацій.

В останні роки злом обмежився демонстрацією вразливості ядра Linux на основі вразливостей Zero Day у 2017 році що дозволяє локальному користувачеві підвищувати свої привілеї в системі.

Так само, дистрибутив Linux "Ubuntu" був виключений із числа хакерських середовищ. З відкритих проектів лише браузери (Firefox, Chrome) та VirtualBox залишаються в номінаціях, але подвиги для них повинні бути продемонстровані в середовищі Windows.

Водночас була додана нова категорія нагород для інформаційних систем злому автомобілів Tesla Model 3 до майбутніх змагань загальна сума виплат призів перевищує 900 тисяч доларів.

Номінації, пов’язані з Tesla, передбачають отримання контролю над шиною CAN, залишаючи шкідливе програмне забезпечення активним після перезавантаження, виконуючи атаки на модем, тюнер, Wi-Fi, Bluetooth, інформаційно-розважальну систему, автопілот та використання смартфона як ключа.

Pwn2Own

Найбільший приз - 250 XNUMX доларів США, передбачений для виконання керованого коду в контексті підсистем Шлюзу (зв’язує всі інформаційні системи транспортних засобів), Автопілота або VCSEC (підсистема безпеки).

Щоб ініціювати несправність автопілота, пропонується бонус в 50 XNUMX доларів, щоб розблокувати замки, запустити двигун без ключа і отримати контроль над шиною CAN - 100 85, щоб отримати кореневий доступ до інформаційно-розважальної системи XNUMX XNUMX доларів.

Про них нагороджують

Номінації, пов’язані із серверними технологіями, обмежувались нагородою за злом Microsoft Windows RDP (приз у розмірі 150 XNUMX доларів).

The Нагороди за використання вразливостей у програмах користувача передбачені Adobe Reader (40 тис.), Microsoft Office 365 Pro Plus (60 тис.) Та Microsoft Outlook (100 тис.).

Номінації на браузерні атаки заявляються для Google Chrome (80 50), Microsoft Edge (60, 80 та 55 65), Apple Safari (40 та 50 XNUMX) та Mozilla Firefox (XNUMX та XNUMX XNUMX).

З систем віртуалізації, що беруть участь у конкурсі, перевіряються VirtualBox (35 70), VMware Workstation (150 250), VMware ESXi (XNUMX XNUMX) та Microsoft Hyper-V Client (XNUMX XNUMX).

Надано окремо для номінації на ескалацію привілеїв через використання вразливостей в ядрі Windows (30 тис.).

Зрештою, жоден Pwn2Own не був би повним без коронування Майстра Pwn. Оскільки порядок проведення конкурсу визначається випадковим розіграшем, учасники, які можуть подати великі дослідження, але подають останні, отримають менше грошей, оскільки наступні раунди втрачають цінність.

Однак бали, що присуджуються за кожен успішний вступ, не знижуються. Хтось може мати погану нічию і все одно набрати більше очок.

Людина або команда, яка набрала найбільше балів в кінці змагань, буде коронований майстром Pwn, отримає 65,000 балів винагороди ZDI


Зміст статті відповідає нашим принципам редакційна етика. Щоб повідомити про помилку, натисніть тут.

2 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований.

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Хуан Антоніо Монкада - сказав він

    Ласкаво просимо до цієї нової програми. Ми будемо чекати з цим новим ресурсом.

  2.   фільтр-зовнішній-акваріум - сказав він

    приз у розмірі 150 тисяч доларів за злом вікон - це подвійне задоволення, яке не має порівняння !!!

bool(true)