V tradičnej renomovanej hackerskej súťaži Pwn2Own o relatívne vysoké finančné odmeny, ktorá sa uskutočnila v uplynulých dvoch dňoch popri bezpečnostnej konferencii CanSecWest vo Vancouveri, súťažiaci hackli tri zo štyroch prehliadačov a jeden virtualizačný produkt.
Na Pwn2Own súťažiaci bezpečnostní experti demonštrujú nimi samozrejme skôr objavené zraniteľnosti, pričom plné odmeny získavajú za demonštrovanie spustenia útočníkom zvoleného kódu štandardným spôsobom akým bývajú realizované útoky, napríklad po zobrazení podvrhnutej stránky v prehliadačoch.
Tento rok sa dalo hackovať až päť kategórií produktov a oproti minulému roku sa tak rozšíril okruh hackovateľných produktov, aj keď Linux z nich zase vypadol.
Napriek tomu bola súťaž ale chudobnejšia ako po minulé roky, keď Čína zakázala účasť tímov a expertov z tejto krajiny na podobných súťažiach. Práve čínske tímy ale v posledných rokoch na Pwn2Own demonštrovali najviac zraniteľností.
Súťažiaci sa tento rok pokúšali demonštrovať hacknutie celkom len štyroch rozdielnych produktov v dvoch kategóriách, prehliadačov Mozilla Firefox, Apple Safari, Microsoft Edge a virtualizačného riešenia VirtualBox. Všetky boli prekonané.
Richard Zhu pri neúspešnom pokuse hacknúť Apple Safari, kliknite pre zväčšenie (foto: Pwn2Own / ZDI)
Naopak nikto nedemonštroval zraniteľnosti v Google Chrome, ďalších klientských virtualizačných riešeniach VMware Workstation a Microsoft Hyper-V Client, v kancelárskych softvéroch Microsoft Office, Outlook, Adobe Reader, webových serveroch, knižniciach a implementáciách Apache, Nginx, OpenSSL, Windows SMB ani vo viacerých funkčnostiach testovacích verzií Windows 10 Insider.
To môže mať okrem neúčasti expertov z Číny potenciálne aj iné príčiny, napríklad čoraz vyššie odmeny ponúkané za zraniteľnosti priamo tvorcami softvérov, bezpečnostnými spoločnosťami využívajúcimi informácie na ochranu a tiež šedým a čiernym trhom vrátane niektorých bezpečnostných spoločností predávajúcich následne zraniteľnosti vládam a agentúram za účelom hackovania občanov alebo iných krajín.
Apple Safari hackli úspešne dvaja súťažiaci respektíve tímy a získali 65 a 55 tisíc dolárov, ďalšiemu sa to podarilo na štvrtý pokus ale pravidlá dovoľujú len tri. V dvoch prípadoch zároveň hackeri získali zvýšené oprávnenia a teda plnú kontrolu nad systémom. Ďalší súťažiaci mal neúspešný pokus ale tiež identifikoval funkčné zraniteľnosti v Safari.
Richard Zhu úspešne hackol Mozillu Firefox aj Microsoft Edge, v oboch prípadoch aj so zvýšením oprávnení a teda získaním plnej kontroly nad operačným systémom. Spolu získal 120 tisíc dolárov.
Poslednou z demonštrácií bol únik z virtualizačného riešenia VirtualBox a spustenie kódu v hostiteľskom OS po spustení kódu vo virtualizovanom OS. Niklasovi Baumstarkovi sa to podarilo, demonštrácia bola označená ale za čiastočnú a získal odmenu 27 tisíc dolárov z plných 35 tisíc. Dôvod prečo nezískal plnú odmenu nie je jasný.
Popri finančných odmenách sa udeľujú v jednotlivých kategóriách aj body a najviac ich získal Richard Zhu, ktorý tak získal ocenenie Master of Pwn.
Bližšie charakterizácie typu použitých zraniteľností je možné nájsť v oznámeniach organizátora súťaže, divízie ZDI, Zero Day Initiative, spoločnosti Trend Micro.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hlavoboleslav
Od: loa_leroa
|
Pridané:
16.3.2018 18:18
takze pri zakaze cinanov vyhral necinan Zhu?
|
|
Nie je dôležité...
Od: syntaxterrorX XX
|
Pridané:
16.3.2018 18:50
Čína zakázala účasť. Nie výhru.
|
|
Re: Nie je dôležité...
Od: MAJAK - neregistrovany
|
Pridané:
16.3.2018 19:33
www.hackovanie.sk - skoda ze uz ta stranka nejde :) bolo to o háčkovaní a štrikovaní
|
|
Re: Nie je dôležité...
Od: llalalala
|
Pridané:
17.3.2018 12:55
asi ju hackli
|
|
Re: hlavoboleslav
Od: Hmmm
|
Pridané:
18.3.2018 9:34
Necinan Zhu taky "netypicky" ITak. Dobra vypracovana postava, dobry outfit, super uces. Prosto stara sa o seba 😀 Podla mna ani na WC nechodi, iba ma zavedeneho bazanta a raz za 3 dni mu ho chodi sestricka menit. A okuliare ? Jednoznacne ma sosovky
|
|
Meniny ma Boleslav
Od: Boleslav
|
Pridané:
16.3.2018 18:55
Cinania nemozu chodit na tieto sutaze. Su malicki, vlezu do kompu obycajne cez USB porty alebo chladenie a to sa im to hackuje potom...
|
|
Re: Meniny ma Boleslav
Od: penismozematmax32cm
|
Pridané:
16.3.2018 19:34
Dobre vravis! Odkedy striekam do notasa cez vetrak biolit,tak nemam problemi s cinskimi hakermi. Len mi s toho vzdicky oci chvilu slzia,ale aspon mi nekradnu procesor na tie kryplomeny a tak. Susedovi takto uz cely procesor ukradli,a musel na splatky novy od Kisku kupovat.
|
|
ničivý teoretik
Od: syntaxterrorX XX
|
Pridané:
16.3.2018 19:50
Gravitacny modry posun akukolvek hodnotu max priekazne marginalizuje.
|
|
Re: ničivý teoretik
Od: ujo tomas
|
Pridané:
19.3.2018 13:00
ale rychlost svetla nie. :) iba jeho vlnovu dlzku.. ;)
|
|
Re: Meniny ma Boleslav
Od: Zamestnanec DHL
|
Pridané:
16.3.2018 19:53
Dobre vravis! Odkedy striekam do notasa...
Vtedy som prestal čítať, ale musím uznať, že mi to nedalo a vrátil som sa to dočítať...
|
|
Re: Meniny ma Boleslav
Od: Disleksijarulez
|
Pridané:
16.3.2018 21:04
Ti dávam mínus,lebo moje z láskou písané komenty nečítaš na prvý krát. A to sa vždy tak na záchode snažím :(
|
|
Re: Meniny ma Boleslav
Od: Zamestnanec DHL
|
Pridané:
16.3.2018 21:12
Ja ti dávam mínus, lebo nie len u nás v DHL píšeme s láskou a nie z láskou....
|
|
Re: Meniny ma Boleslav
Od: Disleksijarulez
|
Pridané:
16.3.2018 22:18
že ty budeš z východu? pán bývalí premier vraveli že tam nič nie je,takže ani láska...
|
|
Re: Meniny ma Boleslav
Od: Zamestnanec DHL
|
Pridané:
17.3.2018 21:18
Pán - začiatok novej vety
bývalý - j.č.
|
|
A Opera??????
Od: Peter114
|
Pridané:
16.3.2018 20:11
A opera, co je podla mna najlepsim prehliadacom, neskusali ho?
|
|
Re: A Opera??????
Od: vsevec
|
Pridané:
16.3.2018 20:17
asi nevedia že existuješ a teda nepoznaju tvoj nazor
|
|
Re: A Opera??????
Od: juju
|
Pridané:
16.3.2018 21:16
Opera je uz cinska a tak ju Cinania zakazali hackovat :->
|
|
Re: A Opera??????
Od: 48484848
|
Pridané:
16.3.2018 21:24
Opera je v podstate len nadstavba, core casti maju tie iste co Chrome.
|
|
matrix
Od: juAhele
|
Pridané:
17.3.2018 0:45
nemate navod ako utiect z tohoto matrixu?
|
|
Re: matrix
Od: 100hoven
|
Pridané:
17.3.2018 0:59
zomri...
|
|
Re: patrix
Od: syntaxterrorX XX
|
Pridané:
17.3.2018 2:10
Nevidim jediny rozumny dovod, preco by trebalo vyuzit zrovna postup, ulahcujuci agentom pracu, z coho uz je, kto ho navrhuje, priekazne evidentne.
|
|
Re: matrix
Od: juAhele
|
Pridané:
17.3.2018 15:10
ked zomriem tak sa nedostanem o uroven vyssie iba budem vymazany :C
|
|
Re: matrix
Od: Makovnik
|
Pridané:
17.3.2018 17:25
Práveže sa dostaneš o niekoľko úrovní vyššie... Žiaľ, len dočasne, kým sa znovu neinkarnuješ do tejto pakárne...
|
|
Re: matrix
Od reg.: yanick
|
Pridané:
17.3.2018 2:07
Nijako, tak ako my nechceme aby nam behal po ulici winword.exe, tak admini Matrixu nechcu, aby si im behal po ulici juAhele.exe :))
|
|
Re: matrix
Od: ale jaaaaj
|
Pridané:
17.3.2018 17:41
Dojdi do Polusa, pokecame.
|
|
dnes má meniny Nový rok, Deň vzniku SR
Od: _Buržuj
|
Pridané:
17.3.2018 4:54
Nejeden expert mi potvrdil, že najbezpečnejší soft je na zariadeniach Apple. Treba si priplatiť za kvalitu.
|
|
najvyssi princip
Od: syntaxterrorX XX
|
Pridané:
17.3.2018 5:43
Ved v nejakej oblasti to urcite staci. V nejakej staci i potvrdenie vacsiny. Zrovna tu je ale taka, ze staci ked vsetci.
|
|
Re: dnes má meniny Nový rok, Deň vzniku SR
Od: Jano z oravy
|
Pridané:
17.3.2018 9:46
Nejeden expert, si myslel že ani jeden expert? Potom by som veril tvojmu výroku.
|
|
Re: dnes má meniny Nový rok, Deň vzniku SR
Od: _xxx
|
Pridané:
17.3.2018 10:50
SAFFARI JE NAJLEPSO
|
|
Re: dnes má meniny Nový rok, Deň vzniku SR
Od: $$p
|
Pridané:
17.3.2018 17:35
:) priplácaš akurát za animované smajle a ikony...
http://dopice.sk/l8X
Ale keď nič iné od operačného systému nepotrebuješ, s chuťou do toho ;)
|
|
Re: dnes má meniny Nový rok, Deň vzniku SR
Od: Eheveueg
|
Pridané:
19.3.2018 13:50
Si retardovany kkt, o bezpecnosti ako o komplexnom celku nie je mozne hovorit v tak prijebanej vete ako si napisal, to nie je true / false, a ty s tym zijes ako svata pravda. Preto si retardovany chuj.
|
|
tak je to
Od: chazar
|
Pridané:
18.3.2018 19:08
Je dokázané že činania sa nerodia ale sa spawnujú !
|
|
Ddddd
Od: Harabin na hrad
|
Pridané:
19.3.2018 14:15
Truecrypt bol bez zadných dvierok tak ho kúpili :)
|