Amikor 2007-ben először megrendezték, a Pwn2Own kizárólag a Mac OS X-ről szólt. De már a második alkalommal terítékre került a Windows és néhány böngésző is. Idén márciusban sorra kerülő verseny főleg a böngészőkre szakosodott hackereknek kedvez – írta a Biztonságportál.
A szponzorok egyébként összesen több mint félmillió dollárt ajánlottak fel az idei a legsikeresebb versenyzők jutalmazására. A Google Chrome feltöréséért idén 75 ezer dollár, az Internet Explorer 11-ért 65 ezer, a Safariért (OS X Yosemite) 50 ezer, a Firefoxért pedig 30 ezer jár majd. A böngészők mellett fel lehet majd törni többek között az Adobe Readert és az Adobe Flasht is egyenként 60 ezerért.
Az egyes jutalmak némileg szerényebbek, mint tavaly, hiszen akkor még 100 ezer dollár járt a Chrome és az Internet Explorer súlyos sérülékenységeiért, míg a Firefoxot feltörők 50 ezret kaptak. Emellett volt egy 150 ezer dolláros különdíj is, amit az kapott, aki engedélyezett EMET védelem mellett is meg tudta hackelni a Windows 8.1-et és az Internet Explorer 11-et.
Alapszabály, hogy csak azokért a sérülékenységekért jár jutalom, amelyek az alkalmazások aktuálisan legfrissebb verzióinak esetében is kihasználhatók jogosulatlan kódfuttatásra. Mindezt úgy kell megvalósítani, hogy az exploit ne akadjon fent a DEP (Data Execution Prevention), az ASRL (Address Space Layout Randomization) és az alkalmazásokban esetlegesen meglévő sandbox védelmen. A Windows alatt az EMET (Enhanced Mitigation Experience Toolkit) védelmet is meg kell kerülni.
A másik fontos kitétel, hogy a versenyzők nem publikálhatják az általuk felfedezett sebezhetőségek részleteit, hanem minden információt és exploitot át kell adniuk a HP ZDI csapatának, amely hivatalosan is értesíti az érintett fejlesztőket a biztonsági résekről. A részvételi feltételek részleteit és a nevezés menetét egy kattintásnyira találja.
A 2015-ös Pwn2Own versenyt – igazodva a hagyományokhoz – a márciusi CanSecWest konferencia részeként rendezik meg. A pénzdíjakat többek között a HP ZDI (Zero Day Initiative) és a Google Project Zero biztosítja.
Biztonságos M2M kommunikáció nagyvállalti környezetben a Balasystól
A megnövekedett támadások miatt az API-k biztonsága erősen szabályozott és folyamatosan auditált terület, amelynek védelme a gépi kommunikáció (M2M) biztonságossá tételén múlik.
a melléklet támogatója az EURO ONE Számítástechnikai Zrt.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak