Amikor 2007-ben először megrendezték, a Pwn2Own kizárólag a Mac OS X-ről szólt. De már a második alkalommal terítékre került a Windows és néhány böngésző is. Idén márciusban sorra kerülő verseny főleg a böngészőkre szakosodott hackereknek kedvez – írta a Biztonságportál.
A szponzorok egyébként összesen több mint félmillió dollárt ajánlottak fel az idei a legsikeresebb versenyzők jutalmazására. A Google Chrome feltöréséért idén 75 ezer dollár, az Internet Explorer 11-ért 65 ezer, a Safariért (OS X Yosemite) 50 ezer, a Firefoxért pedig 30 ezer jár majd. A böngészők mellett fel lehet majd törni többek között az Adobe Readert és az Adobe Flasht is egyenként 60 ezerért.
Az egyes jutalmak némileg szerényebbek, mint tavaly, hiszen akkor még 100 ezer dollár járt a Chrome és az Internet Explorer súlyos sérülékenységeiért, míg a Firefoxot feltörők 50 ezret kaptak. Emellett volt egy 150 ezer dolláros különdíj is, amit az kapott, aki engedélyezett EMET védelem mellett is meg tudta hackelni a Windows 8.1-et és az Internet Explorer 11-et.
Alapszabály, hogy csak azokért a sérülékenységekért jár jutalom, amelyek az alkalmazások aktuálisan legfrissebb verzióinak esetében is kihasználhatók jogosulatlan kódfuttatásra. Mindezt úgy kell megvalósítani, hogy az exploit ne akadjon fent a DEP (Data Execution Prevention), az ASRL (Address Space Layout Randomization) és az alkalmazásokban esetlegesen meglévő sandbox védelmen. A Windows alatt az EMET (Enhanced Mitigation Experience Toolkit) védelmet is meg kell kerülni.
A másik fontos kitétel, hogy a versenyzők nem publikálhatják az általuk felfedezett sebezhetőségek részleteit, hanem minden információt és exploitot át kell adniuk a HP ZDI csapatának, amely hivatalosan is értesíti az érintett fejlesztőket a biztonsági résekről. A részvételi feltételek részleteit és a nevezés menetét egy kattintásnyira találja.
A 2015-ös Pwn2Own versenyt – igazodva a hagyományokhoz – a márciusi CanSecWest konferencia részeként rendezik meg. A pénzdíjakat többek között a HP ZDI (Zero Day Initiative) és a Google Project Zero biztosítja.
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
HPE Morpheus VM Essentials: a virtualizáció arany középútja
Minden, amire valóban szükség van, ügyfélbarát licenceléssel és HPE támogatással - a virtualizációs feladatok teljes életciklusát végigkíséri az EURO ONE Számítástástechnikai Zrt.
a melléklet támogatója az EURO ONE
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?