A Zero Day Initiative Pwn2Own versenyei immár évtizedes múltra tekinthetnek vissza. A fehér kalapot viselő hekkercsapatoknak korábban jellemzően böngészők, egyéb szoftverek és például okostelefonok ellen kellett megmérkőzni. Az utóbbi időben azonban az egyre komolyabb péndíjjal csábító megmérettetések célpontjainak listája fokozatosan bővült. 2019-ben például Teslát törhettek az indulók.
A héten Austinban zajló Pwn2Own kifejezetten eddig hanyagolt, végfelhasználóknak szánt típusokra, hardveres perifériákra fókuszált. Nyomtatókat például most támadhattak első ízben a versenyzők. És ha már lehetőségük nyílt rá, fel is törték őket. Csak az első napon 360 ezer dollárnyi "vérdíj" talált gazdára. A pénzt a nyomtatók mellett NAS-ok, routerek és okos hangszórók eddig nem ismert biztonsági hibáinak kihasználásával lehetett megszerezni.
A verseny színvonalára jellemző, hogy csak elvétve akadt teljesen sikertelen próbálkozás. Gyakrabban fordult elő, hogy a törés csak részleges pontot és díjat érdemelt, mivel az alkalmazott módszer már ismert bugra, sérülékenységre támaszkodva tudta kijátszani a védelmet.
Nyomokban sem biztonságos nyomtatók
A rendezvény első három napján összesen tíz esetben próbálkoztak nyomtatók feltörésével, és ezek mindegyike sikerrel járt. Nyolc esetben ráadásul teljes értékű győzelem született, köszönhetően annak, hogy a csapatok még nem ismert sérülékenységet kihasználva tudták irányításuk alá vonni az eszközöket.
A Canon ImageCLASS MF644Cdw rendszerét például három különböző módon is kompromittálták, de több fronton esett el a Lexmark MC3224i, illetve a HP Color LaserJet Pro MFP M283fdw is. Mivel egy sikeres akcióért 20 ezer dollár járt, így a csapatok összesítésben több mint 200 ezer dollárt tehettek zsebre ebben az egy kategóriában.
Tekintélyesebb fejpénz járt a Sonos One okos hangszoró védelmének kicselezéséért. Ez két próbálkozásból két csapatnak is sikerült, aminek köszönhetően 60-60 ezer dollárral hízik a bankszámlájuk. A Western Digital NAS-ok feltörése 40 ezret, a Cisco routerek kompromittálása 30 ezer dollárt ért sikeres akciónként.
Az eseményen célpontként szereplő Samsung Galaxy S21 vegyes eredményekkel zárt. A dél-koreai okostelefon az első nap sikeresen ellenállt a támadásnak, másnap pedig ugyan megadta magát, ám a kihasznált hiba már ismert volt a gyártó előtt. A totális kapitulációt azonban a mobil sem úszta meg: a harmadik napon egy teljes értékű sikeres támadással 50 ezret söpört be az egyik induló.
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
HPE Morpheus VM Essentials: a virtualizáció arany középútja
Minden, amire valóban szükség van, ügyfélbarát licenceléssel és HPE támogatással - a virtualizációs feladatok teljes életciklusát végigkíséri az EURO ONE Számítástástechnikai Zrt.
a melléklet támogatója az EURO ONE
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?