A Zero Day Initiative Pwn2Own versenyei immár évtizedes múltra tekinthetnek vissza. A fehér kalapot viselő hekkercsapatoknak korábban jellemzően böngészők, egyéb szoftverek és például okostelefonok ellen kellett megmérkőzni. Az utóbbi időben azonban az egyre komolyabb péndíjjal csábító megmérettetések célpontjainak listája fokozatosan bővült. 2019-ben például Teslát törhettek az indulók.
A héten Austinban zajló Pwn2Own kifejezetten eddig hanyagolt, végfelhasználóknak szánt típusokra, hardveres perifériákra fókuszált. Nyomtatókat például most támadhattak első ízben a versenyzők. És ha már lehetőségük nyílt rá, fel is törték őket. Csak az első napon 360 ezer dollárnyi "vérdíj" talált gazdára. A pénzt a nyomtatók mellett NAS-ok, routerek és okos hangszórók eddig nem ismert biztonsági hibáinak kihasználásával lehetett megszerezni.
A verseny színvonalára jellemző, hogy csak elvétve akadt teljesen sikertelen próbálkozás. Gyakrabban fordult elő, hogy a törés csak részleges pontot és díjat érdemelt, mivel az alkalmazott módszer már ismert bugra, sérülékenységre támaszkodva tudta kijátszani a védelmet.
Nyomokban sem biztonságos nyomtatók
A rendezvény első három napján összesen tíz esetben próbálkoztak nyomtatók feltörésével, és ezek mindegyike sikerrel járt. Nyolc esetben ráadásul teljes értékű győzelem született, köszönhetően annak, hogy a csapatok még nem ismert sérülékenységet kihasználva tudták irányításuk alá vonni az eszközöket.
A Canon ImageCLASS MF644Cdw rendszerét például három különböző módon is kompromittálták, de több fronton esett el a Lexmark MC3224i, illetve a HP Color LaserJet Pro MFP M283fdw is. Mivel egy sikeres akcióért 20 ezer dollár járt, így a csapatok összesítésben több mint 200 ezer dollárt tehettek zsebre ebben az egy kategóriában.
Tekintélyesebb fejpénz járt a Sonos One okos hangszoró védelmének kicselezéséért. Ez két próbálkozásból két csapatnak is sikerült, aminek köszönhetően 60-60 ezer dollárral hízik a bankszámlájuk. A Western Digital NAS-ok feltörése 40 ezret, a Cisco routerek kompromittálása 30 ezer dollárt ért sikeres akciónként.
Az eseményen célpontként szereplő Samsung Galaxy S21 vegyes eredményekkel zárt. A dél-koreai okostelefon az első nap sikeresen ellenállt a támadásnak, másnap pedig ugyan megadta magát, ám a kihasznált hiba már ismert volt a gyártó előtt. A totális kapitulációt azonban a mobil sem úszta meg: a harmadik napon egy teljes értékű sikeres támadással 50 ezret söpört be az egyik induló.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak