Hekerski Pwn2Own 2014 prinaša rekordne nagrade
Letos bo vsakoletni hekerski maraton Pwn2Own na konferenci CanSecWest 2014 postregel z rekordnimi nagradami, saj bo na voljo kar 645.000 dolarjev, je sporočil prireditelj HP Zero Day Initiative (ZDI).
Tekmovanje poteka vse od leta 2007, pri čemer osnovni format ostaja enak, spreminjajo pa se podrobnosti ter programska in strojna oprema, v kateri tekmovalci iščejo ranljivosti. Letos bo tekmovanje potekalo 12. in 13. marca v Vancouvru, na tnalu pa bodo brskalniki in vtičniki. Tekmovalne kategorije skupaj z obljubljeno nagrado bodo Chrome (100.000 dolarjev), Internet Explorer 11 (100.000 dolarjev) in Firefox (50.000 dolarjev), vsi v zadnjih dosegljivih verzijah na sistem Windows 8.1 x64, ter Applov Safari na OS X Mavericks (65.000 dolarjev).
Ker se velike vdorov zgodi prek vtičnikov za brskalnike, bodo na tapeti tudi ti: Adobe Reader (75.000 dolarjev), Adobe Flash (75.000 dolarjev) in Java (30.000 dolarjev), vsi na IE 11 z Windows 8.1 x64.
Novost je tako imenovana velika nagrada, ki jo prejme, kdor se bo prebil prek IE 11 v Windows 8.1 in potem še zlomil Enhanced Mitigation Experience Toolkit (EMET), skratka pridobil popolni nadzor nad računalnikom, za kar potrebuje vsaj tri ranljivosti. Vrednost te nagrade je 150.000 dolarjev, kar ni veliko za tak podvig.
Tudi letos bo istočasno potekalo Googlovo tekmovanje Pwnium, kjer se bo napadalo izključno Chrome.
Format tekmovanja je nekoliko neposrečen, saj vrstni red poizkušanja izžrebajo med prijavljenimi, vsak pa ima 30 minut časa za napad. Seveda ne odkriva ranljivosti, ampak pridejo tekmovalci tja že pripravljeni, za čemer stoji več mesecev trdega dela. Lani so bili zmagovalci Francozi VUPEN, ki so domov odnesli 250.000 dolarjev od podeljenih 480.000 dolarjev, a so bili zelo kritični do žrebanja vrstnega reda. Lani so organizatorji potem nagradili tudi tiste, ki niso bili prvi, pa so vseeno uspešno zlomili sistem, in pričakovati je, da bo tako tudi letos.
Ponujene nagrade se zdijo visoke, a v resnici so precej piškave glede na zneske, ki jih lahko s temi ranljivosti zaslužijo na črnem trgu. O tem svetu smo podrobno pisali v Monitorju 04/2013.