Szépen hozott a konyhára az etikus hekkereknek a múlt hétvégén rendezett Pwn2Own Berlin elnevezésű rendezvény. A Zero Day Initiative által immár évente több helyszínen megtartott kiberbiztonsági megmérettetés célja, hogy megfelelő ösztönzők mentén, kontrollált körülmények között találjanak rá eddig nem ismert sérülékenységekre.

A háromnapos verseny mindegyik napjára jutott több komoly, nulladik napi sebezhetőség, amelyekből összesen végül 29-et jegyezhettek fel a szervezők. A nevező csapatok egy sor különböző területen mutathatták meg képességeiket. A "levadászható" célpontok között volt mesterséges intelligencia, webböngésző, virtuálizációs technológia, szerverek, cloudos környezet és több Tesla modell is. Utóbbiakkal azonban a csinos "vérdíjak" ellenére sem tett próbát egyik jelentkező sem (ellentétben a tavaly Tokióban rendezett, autóiparra fókuszáló viadallal, ahol szanaszét hekkelték a Teslát).

A legújabb biztonsági frissítésekkel és a legfrissebb operációs rendszerverzióval futó hardvereket és szoftvereket megtörő biztonsági kutatók végül közel 1,1 millió dollárt tehettek zsebre. A legsikeresebb csapatnak a STAR Labs SG bizonyult, akik 320 ezer dollárral gazdagodtak a Red Hat Enterprise Linux, a Docker Desktop, a Windows 11, az Oracle VirtualBox és a VMware ESXi kijátszásáért. Utóbbiért járt egyébként a legnagyobb egyedi kifizetés: a STAR Labs munkatársa, Nguyen Hoang Thach 150 ezer dollárral hízlalhatta bankszámláját.

Ketyeg az óra

A Pwn2Own versenysorozat szabályai alapján a bizonyítottan létező sebezhetőségek kijavítására 90 napot kapnak az érintett gyártók. Amennyiben erre a nem túl feszes határidőre sem sikerülne kiadni egy a sérülékenységet befoltozó frissítést, a TrendMicro biztonsági céghez kötődő Zero Day Initiative nyilvánosságra hozza a feltárt biztonsági problémát.

Az esetek többségében persze nincs szükség ilyen drasztikus nyomásgyakorlásra. A Mozilla például már a hétvégén kiadta azokat a Firefox-frissítéseket, amelyekkel már nem használható ki az a böngészőben talált két nulladik napi hiba, amelyekre a fehér kalapos hekkerek bukkantak a berlini megmérettetés során.

(Kép: Zero Day Initiative)