Szépen hozott a konyhára az etikus hekkereknek a múlt hétvégén rendezett Pwn2Own Berlin elnevezésű rendezvény. A Zero Day Initiative által immár évente több helyszínen megtartott kiberbiztonsági megmérettetés célja, hogy megfelelő ösztönzők mentén, kontrollált körülmények között találjanak rá eddig nem ismert sérülékenységekre.
A háromnapos verseny mindegyik napjára jutott több komoly, nulladik napi sebezhetőség, amelyekből összesen végül 29-et jegyezhettek fel a szervezők. A nevező csapatok egy sor különböző területen mutathatták meg képességeiket. A "levadászható" célpontok között volt mesterséges intelligencia, webböngésző, virtuálizációs technológia, szerverek, cloudos környezet és több Tesla modell is. Utóbbiakkal azonban a csinos "vérdíjak" ellenére sem tett próbát egyik jelentkező sem (ellentétben a tavaly Tokióban rendezett, autóiparra fókuszáló viadallal, ahol szanaszét hekkelték a Teslát).
A legújabb biztonsági frissítésekkel és a legfrissebb operációs rendszerverzióval futó hardvereket és szoftvereket megtörő biztonsági kutatók végül közel 1,1 millió dollárt tehettek zsebre. A legsikeresebb csapatnak a STAR Labs SG bizonyult, akik 320 ezer dollárral gazdagodtak a Red Hat Enterprise Linux, a Docker Desktop, a Windows 11, az Oracle VirtualBox és a VMware ESXi kijátszásáért. Utóbbiért járt egyébként a legnagyobb egyedi kifizetés: a STAR Labs munkatársa, Nguyen Hoang Thach 150 ezer dollárral hízlalhatta bankszámláját.
Ketyeg az óra
A Pwn2Own versenysorozat szabályai alapján a bizonyítottan létező sebezhetőségek kijavítására 90 napot kapnak az érintett gyártók. Amennyiben erre a nem túl feszes határidőre sem sikerülne kiadni egy a sérülékenységet befoltozó frissítést, a TrendMicro biztonsági céghez kötődő Zero Day Initiative nyilvánosságra hozza a feltárt biztonsági problémát.
Az esetek többségében persze nincs szükség ilyen drasztikus nyomásgyakorlásra. A Mozilla például már a hétvégén kiadta azokat a Firefox-frissítéseket, amelyekkel már nem használható ki az a böngészőben talált két nulladik napi hiba, amelyekre a fehér kalapos hekkerek bukkantak a berlini megmérettetés során.
(Kép: Zero Day Initiative)
Cyber Threat Intelligence: üzleti előny a sötét adatokból
Egyetlen kompromittált jelszó. Egy belépési pont, amit már nem használnak. Egy korábbi alkalmazott adatszivárgása. Ezek ma már nem csupán technikai hibák, hanem valós üzleti fenyegetések, amelyek a digitális alvilág piacán előbb bukkannak fel, mint ahogy a cég egyáltalán észrevenné.
a melléklet támogatója a One Solutions
Miért kell az üzleti intelligenciának megelőznie az MI bevezetését?
A felfokozott várakozásokhoz képest kiábrándító az MI-bevezetések valósága, ebben pedig a fő bűnös a rossz adatminőség és nem megfelelő adatinfrastruktúra.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak