Múlt héten rendezték Torontóban a Pwn2Own hekkerverseny idei utolsó részét, ahol kifejezetten az otthoni felhasználóknak szóló eszközök (telefonok, okos hangszórók, nyomtatók, egyéb hálózathoz csatlakozó berendezések) kerültek célkeresztbe. A célpontokra a lövéseket ezúttal is olyan etikus hekkerek adták le, akik szakértelmükkel inkább biztonságosabbá teszik a világot, minthogy az általuk felfedezett biztonsági réseket hatalmas összegekért árulnák az internet sötétebb bugyraiban.
A Zero Day Initiative (ZDI) által 14 éve életre hívott eseménysorozat mostani állomásán 63 nulladik napi sérülékenységre derült fény. Ezekért a sikeres törésekért az immár a Trend Micro biztonsági vállalathoz tartozó ZDI összesen közel 1 millió dollárnyi jutalmat osztott szét.
A legnagyobb trófát ezúttal egyértelműen a Samsung Galaxy telefonok jelentették. A dél-koreai gyártó készülékeit négy csapat próáblta meg kompromittálni, akik közül hárman sikerrel is jártak. A Samsung zászlóshajójának feltörése egyenként 50 ezer dollárt hozott a konyhára. Más kérdés, hogy becslések szerint ugyanezért kiberbűnözői körökben nagyjából 2-3 millió dollárt is hajlandóak lennének kifizetni.
Van az a pénz (de ez nem az)
A versenyen egyébként a legnagyobb fejpénzt egy iPhone vagy egy Google Pixel feltörése hozta volna, ám az ezekért beígért 250 ezer dollár sem bizonyult elég vonzónak ahhoz, hogy akár csak egyetlen csapat is bepróbálkozzon ezeknél a mobiloknál. Ahogy a The Registernek a Trend Micro Zero Day Initiative (ZDI) fenyegetésfelismerésért felelős vezetője kicsit keserűen nyilatkozta: "ez egyszerűen nem elég nulla ahhoz a kutatási szinthez, amit az ilyen telefonok feltörése igényel". Dustin Childs szerint egy könnyen kihasználható iPhone-exploit ára elérheti a 15 millió dollárt is a feketepiacon.
A legális és az illegális úton szerezhető összegek közötti különbség annyira nagy, hogy a Pwn2Own versenyen indulókat modern grállovagokként is tisztelhetjük, akik a szerény(ebb) pénzjutalom és a szakmai elismertség mellett maximum azzal a jó érzéssel térhetnek haza, hogy a gyártóknak átadott információkkal segítettek egy fokkal biztonságosabbá tenni a világot.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?