Kiírta a Trend Micro Zero Day Initiative (ZDI) a Pwn2Own Vancouver 2021 hekkerverseny feladatait, nyereményeit és szabályait. A versenyt idén hibrid formában, részben a helyszínen, részben online rendezik április 6. és 8. között a kanadai városban. A verseny honlapján közzétett tájékoztatás szerint a versenyzők a megoldásaikat a világ bármely pontjáról beadhatják, amiknek helyességét a ZDI munkatársai Torontóban és Austinban ellenőrzik. A sérülékenységek kiaknázását bemutató demókat élőben közvetítik többek között a Twitchen és a YouTube-on.
Igazodnak a kihívásokhoz
A 14. éve megrendezett hekkerverseny kiírásában a szervezők mindig igyekeznek reagálni az aktuális problémákra. Amikor 2007-ben a vancouveri CanSecWest biztonsági konferenciához kapcsolódóan először meghirdették a versenyt, még elsősorban a böngészők sérülékenységeihez kapcsolódtak a feladatok. Azóta minden téren kibővült a verseny, és mára a biztonsági kutatók legismertebb nemzetközi megmérettetésévé, egyfajta hekkerolimpiává vált. 2013-től már évente kétszer rendezték meg: ősszel a tokiói PacSec konferencia keretében elsősorban a mobil eszközök sérülékenységeit kellett megtalálniuk és kihasználniuk a versenyzőknek.
Az autóipari kategória (Tesla-törés) 2019-ben jelent meg, a koronavírus-helyzetre reagálva idén pedig felvették az Enterprise Communications kategóriát. Így áprilisban összesen már hét kategóriában (virtualizáció, böngésző, vállalati alkalmazások, szerver, jogosultságemelés, vállalati kommunikáció, autóipar) lehet sérülékenységeket keresni. A verseny jelentőségét mutatja, hogy még a nagypolitika is beszivárgott, ahogy a hagyományos sportba is: 2018-ban Kína megtiltotta, hogy biztonsági kutatói elinduljanak a versenyen, és megosszák nyugati kollégáikkal az általuk felfedezett sérülékenységeket.
A nyereményalap, amit főleg a szponzorok adnak össze (idén elsősorban a Tesla, a Zoom és a VMware), meghaladja a 1,5 millió dollárt, a ráadás pedig egy 3-as Tesla. A pénzt nem osztják ki automatikusan a versenyzőknek: a zsűri döntésén múlik, hány százalékosra minősíti a feladatmegoldást.
A Tesla-hekkelés fizet a legjobban
Idén az autóhekkeléssel lehet a legnagyobbat szakítani. Ha valakinek sikerül a Tesla modellje fölött megszerezni a teljes irányítást, kap 600 ezer dollárt és egy Tesla 3-at. Ehhez azonban lényegében az autó minden rendszerét fel kell törni. Ezért a részfeladatok (infotainment, autopilot, CAN Bus) is díjat érnek.
A versenyen nagy hangsúlyt kapnak a Microsoft rendszerei. Több kategóriában is a legmagasabb (virtualizáció, szerver, böngésző, vállalati kommunikáció) pénzdíjakat lehet nyerni a redmondi megoldások feltörésével. A virtualizációs kategóriában például a Microsoft Hyper-V kliens törése 250 ezer dollárt, szerver kategóriában az Exchange kompromittálása 200 ezret, míg a webböngésző kategóriája az Edge törése akár 150 ezret is érhet.
Az idén bevezetett vállalati kommunikáció kategóriának egyébként két szereplője van: a Zoom és a Microsoft Teams. Mindkét rendszer feltörésével maximum 200 ezer dollárt lehet kaszálni.
A versenyre április 2-áig lehet jelentkezni. A hatalmas pénzdíj csak lehetőség, tavaly, amikor a versenyt virtuálisan rendezték meg, összesen 270 ezer dollárt osztott ki a zsűri. Mivel azonban virtuálisan, távolról is lehet versenyezni, akár magyar csapatoknak is érdemes nevezni. A feltételek a ZDI honlapján olvashatók.
Biztonságos M2M kommunikáció nagyvállalti környezetben a Balasystól
A megnövekedett támadások miatt az API-k biztonsága erősen szabályozott és folyamatosan auditált terület, amelynek védelme a gépi kommunikáció (M2M) biztonságossá tételén múlik.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak