Kiírta a Trend Micro Zero Day Initiative (ZDI) a Pwn2Own Vancouver 2021 hekkerverseny feladatait, nyereményeit és szabályait. A versenyt idén hibrid formában, részben a helyszínen, részben online rendezik április 6. és 8. között a kanadai városban. A verseny honlapján közzétett tájékoztatás szerint a versenyzők a megoldásaikat a világ bármely pontjáról beadhatják, amiknek helyességét a ZDI munkatársai Torontóban és Austinban ellenőrzik. A sérülékenységek kiaknázását bemutató demókat élőben közvetítik többek között a Twitchen és a YouTube-on.

Igazodnak a kihívásokhoz

A 14. éve megrendezett hekkerverseny kiírásában a szervezők mindig igyekeznek reagálni az aktuális problémákra. Amikor 2007-ben a vancouveri CanSecWest biztonsági konferenciához kapcsolódóan először meghirdették a versenyt, még elsősorban a böngészők sérülékenységeihez kapcsolódtak a feladatok. Azóta minden téren kibővült a verseny, és mára a biztonsági kutatók legismertebb nemzetközi megmérettetésévé, egyfajta hekkerolimpiává vált. 2013-től már évente kétszer rendezték meg: ősszel a tokiói PacSec konferencia keretében elsősorban a mobil eszközök sérülékenységeit kellett megtalálniuk és kihasználniuk a versenyzőknek.

Az autóipari kategória (Tesla-törés) 2019-ben jelent meg, a koronavírus-helyzetre reagálva idén pedig felvették az Enterprise Communications kategóriát. Így áprilisban összesen már hét kategóriában (virtualizáció, böngésző, vállalati alkalmazások, szerver, jogosultságemelés, vállalati kommunikáció, autóipar) lehet sérülékenységeket keresni. A verseny jelentőségét mutatja, hogy még a nagypolitika is beszivárgott, ahogy a hagyományos sportba is: 2018-ban Kína megtiltotta, hogy biztonsági kutatói elinduljanak a versenyen, és megosszák nyugati kollégáikkal az általuk felfedezett sérülékenységeket.

A nyereményalap, amit főleg a szponzorok adnak össze (idén elsősorban a Tesla, a Zoom és a VMware), meghaladja a 1,5 millió dollárt, a ráadás pedig egy 3-as Tesla. A pénzt nem osztják ki automatikusan a versenyzőknek: a zsűri döntésén múlik, hány százalékosra minősíti a feladatmegoldást.

A Tesla-hekkelés fizet a legjobban

Idén az autóhekkeléssel lehet a legnagyobbat szakítani. Ha valakinek sikerül a Tesla modellje fölött megszerezni a teljes irányítást, kap 600 ezer dollárt és egy Tesla 3-at. Ehhez azonban lényegében az autó minden rendszerét fel kell törni. Ezért a részfeladatok (infotainment, autopilot, CAN Bus) is díjat érnek.

A versenyen nagy hangsúlyt kapnak a Microsoft rendszerei. Több kategóriában is a legmagasabb (virtualizáció, szerver, böngésző, vállalati kommunikáció) pénzdíjakat lehet nyerni a redmondi megoldások feltörésével. A virtualizációs kategóriában például a Microsoft Hyper-V kliens törése 250 ezer dollárt, szerver kategóriában az Exchange kompromittálása 200 ezret, míg a webböngésző kategóriája az Edge törése akár 150 ezret is érhet.

Az idén bevezetett vállalati kommunikáció kategóriának egyébként két szereplője van: a Zoom és a Microsoft Teams. Mindkét rendszer feltörésével maximum 200 ezer dollárt lehet kaszálni.

A versenyre április 2-áig lehet jelentkezni. A hatalmas pénzdíj csak lehetőség, tavaly, amikor a versenyt virtuálisan rendezték meg, összesen 270 ezer dollárt osztott ki a zsűri. Mivel azonban virtuálisan, távolról is lehet versenyezni, akár magyar csapatoknak is érdemes nevezni. A feltételek a ZDI honlapján olvashatók.