Linux đã bị loại khỏi các đề cử Pwn2Own 2019 nhưng được thêm vào Tesla

Ban tổ chức Sáng kiến ​​Ngày Không (ZDI) công bố sự kiện Pwn2Own 2019có ai Những người tham gia được mời trình diễn các kỹ thuật làm việc để khai thác các lỗ hổng chưa biết trước đây.

Sự kiện sẽ diễn ra từ ngày 20 đến ngày 22 tháng XNUMX tại hội nghị CanSecWest ở Vancouver. Quy mô của quỹ giải thưởng là hơn hai triệu rưỡi đô la.

Pwn2Own là một cuộc thi hack máy tính được tổ chức hàng năm tại hội nghị bảo mật CanSecWest, bắt đầu từ năm 2007.

Những người tham gia được thử thách khai thác phần mềm và thiết bị di động được sử dụng rộng rãi với các lỗ hổng chưa xác định cho đến nay.

Người chiến thắng cuộc thi nhận được thiết bị mà họ đã phát nổ, một giải thưởng tiền mặt và một chiếc áo khoác "Masters" kỷ niệm một năm chiến thắng của họ.

Cái tên "Pwn2Own" bắt nguồn từ việc người tham gia phải "pwn" hoặc hack thiết bị để "sở hữu" hoặc giành được nó.

Cuộc thi Pwn2Own nhằm chứng minh tính dễ bị tổn thương của các thiết bị và phần mềm được sử dụng rộng rãi, đồng thời cung cấp một điểm kiểm tra về tiến bộ đã đạt được trong bảo mật kể từ năm trước.

Giới thiệu về Pwn2Own 2019

Năm nay, hack kernel Linux cũng như hầu hết các dự án mở (nginx, OpenSSL, Apache httpd) đều bị loại khỏi các đề cử giải thưởng.

Trong những năm gần đây, vụ hack chỉ giới hạn trong việc trình diễn lỗ hổng nhân Linux dựa trên lỗ hổng Zero Day vào năm 2017 cho phép người dùng cục bộ nâng cao đặc quyền của họ trên hệ thống.

Tương tự như vậy, bản phân phối Linux "Ubuntu" đã bị loại khỏi số lượng môi trường hack. Trong số các dự án đang mở, chỉ có các trình duyệt (Firefox, Chrome) và VirtualBox vẫn được đề cử, nhưng việc khai thác chúng phải được chứng minh trong môi trường Windows.

Đồng thời một hạng mục giải thưởng mới cho hệ thống thông tin hack xe Tesla Model 3 đã được thêm vào để cạnh tranh trong tương lai, tổng số tiền trả thưởng vượt quá 900 nghìn đô la.

Các đề cử liên quan đến Tesla liên quan đến việc giành quyền kiểm soát CAN Bus, để phần mềm độc hại hoạt động sau khi khởi động lại, thực hiện các cuộc tấn công vào modem, bộ thu sóng, Wi-Fi, Bluetooth, hệ thống thông tin giải trí, lái tự động và sử dụng điện thoại thông minh làm chìa khóa.

Giải thưởng lớn nhất có kích thước 250 USD, được cung cấp để thực thi mã được quản lý trong ngữ cảnh của hệ thống con Gateway (liên kết tất cả hệ thống thông tin xe), Autopilot hoặc VCSEC (hệ thống con an toàn).

Để bắt đầu lỗi lái tự động, một khoản tiền thưởng 50 đô la được cung cấp, để mở khóa, khởi động động cơ mà không cần chìa khóa và giành quyền kiểm soát xe buýt CAN - 100, để có quyền truy cập root vào hệ thống thông tin giải trí $ 85.

Về họ được thưởng

Các đề cử liên quan đến công nghệ máy chủ chỉ giới hạn ở giải thưởng hack Microsoft Windows RDP (giải thưởng trị giá 150 USD).

các Phần thưởng cho việc khai thác lỗ hổng trong các ứng dụng của người dùng được cung cấp cho Adobe Reader (40 nghìn), Microsoft Office 365 Pro Plus (60 nghìn) và Microsoft Outlook (100 nghìn).

Các đề cử tấn công trình duyệt được yêu cầu cho Google Chrome (80), Microsoft Edge (50, 60 và 80), Apple Safari (55 và 65) và Mozilla Firefox (40 và 50).

Trong số các hệ thống ảo hóa tham gia cuộc thi, VirtualBox (35), VMware Workstation (70), VMware ESXi (150) và Microsoft Hyper-V Client (250) được kiểm tra.

Được cung cấp riêng cho đề cử leo thang đặc quyền thông qua việc khai thác các lỗ hổng trong nhân Windows (30 nghìn).

Cuối cùng, sẽ không có Pwn2Own nào hoàn thiện nếu không đăng quang Master of Pwn. Vì thứ tự của cuộc thi được quyết định bằng cách rút thăm ngẫu nhiên, những người tham gia có thể gửi nghiên cứu tuyệt vời nhưng là người gửi cuối cùng sẽ nhận được ít tiền hơn vì các vòng tiếp theo sẽ mất giá trị.

Tuy nhiên, số điểm được trao cho mỗi lần nhập thành công không giảm xuống. Ai đó có thể có một trận hòa tồi tệ và vẫn giành được nhiều điểm hơn.

Người hoặc đội có nhiều điểm nhất khi kết thúc cuộc thi sẽ đăng quang Master of Pwn, nhận 65,000 điểm thưởng ZDI