Pwn2Own

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Pwn2Own este o competiție între hackeri al căror scop este de a putea găsi defecte în anumite software-uri, în special browsere ( Internet Explorer , Mozilla Firefox , Google Chrome și Safari ) și smartphone-uri de ultimă generație ( BlackBerry , iPhone și dispozitive cu Android și Windows Phone care operează sisteme ), care anterior au fost crezute sau au fost declarate libere de vulnerabilități. Numele „Pwn2Own” este de fapt compus din verbele englezești „to pwn”, care - prezent exclusiv în jargonul computerului - înseamnă „hack” sau găsește un defect într-un software și „a deține”, termen folosit în special în jocuri video online pentru „umili” adversarul învins. Competiția este sponsorizată de TippingPoint și are loc în fiecare an în Canada la conferința CanSecWest despre securitatea computerelor .

Câștigătorii concursului primesc computerul sau dispozitivul pe care au reușit să efectueze exploit-ul și un premiu în bani, care poate ajunge până la 1.000.000 USD (oferit de echipa Google în 2012 celor care au reușit să „străpungă” Google Chrome) [1] .

Prima ediție a Pwn2Own a fost realizată în 2007, obținând, an de an, un succes din ce în ce mai mare.

Ediții

2007

Echipa formată din hackerii Dino Dai Zovi și Shane Macaulay a reușit să pirateze primul MacBook Pro. A doua zi Macauley a trimis un e-mail care a redirecționat utilizatorul către un site rău intenționat capabil să infecteze sistemul de operare printr-o vulnerabilitate JavaScript permițându-vă să executați cod arbitrar. pe computer, fără știrea dvs.

2008

Participanții au fost provocați să găsească o modalitate de a citi conținutul unui fișier situat pe desktop, pe unul dintre următoarele sisteme de operare: Windows Vista ServicePack 1, Mac OS X Leopard și Ubuntu 7.10. În prima zi de competiție nimeni nu a reușit în întreprindere, dar a doua zi li s-a permis să folosească browserele ca front suplimentar de atac, așa că prin Safari hackerul Charlie Miller a reușit să găsească un exploit pentru Mac, primind ulterior o anumită notorietate. Miller aflase despre vulnerabilitate chiar înainte de competiție, având astfel ocazia să lucreze la exploatarea netulburată.

La sfârșitul cursei, doar Ubuntu a ieșit nevătămat.

2012

Un adolescent, care s-a prezentat ca un provocator independent și care s-a numit „Pinkie Pie”, a ocolit sandbox- ul browserului Chrome exploatând 3 vulnerabilități diferite, primind un premiu de 60.000 de dolari, în timp ce „Willem Pinckaers” și „Vincenzo Iozzo”, exploatând un singur vulnerabilitatea Firefox versiunea 10.0.2, au reușit să ocolească protecțiile ASLR și DEP ale Windows 7 câștigând 30.000 $ [2] .

2014

Niciunul dintre browserele majore nu a supraviețuit: cel mai bun a fost Chrome cu o singură vulnerabilitate, urmat de Safari cu 2 defecte, Firefox cu 3 și, în cele din urmă, Internet Explorer cu 4 vulnerabilități. Chiar și software-uri precum Adobe Reader și Flash nu au ieșit nevătămate, pentru aceleași defecte Windows 5 au fost găsite.

Suma totală plătită participanților a fost de 557.500 de dolari, din care aproape jumătate s-au îndreptat către sud-coreeanul Jung Hoon Lee care a reușit să străpungă diverse programe, inclusiv Google Chrome și a reușit să câștige 225.000 de dolari. Site-urile specializate comentează lucrările sale după cum urmează: "Atacul a început prin încercarea unei condiții de cursă prin depășirea bufferului în Chrome. Pentru a permite atacatorului să treacă mecanisme anti-exploatare, cum ar fi sandbox și randomizarea aspectului spațiului de adresă, Jung Hoon Lee a exploatat o informație scurgeri și o condiție de cursă în doi piloți de kernel Windows, un rezultat impresionant care a permis exploatării să obțină acces complet la sistem. " [3] [4]

Marele pierdut a fost, fără îndoială, Internet Explorer, ceea ce în realitate nu este prea surprinzător, Microsoft a decis, de fapt, să schimbe browserul, bazându-se pe noul „Spartan”, care va fi prezent în Windows 10, următorul sistem de operare de la Redmond.

Notă