HP Zero Day Initiatives оновлює щорічний конкурс хакерів, щоб включити в гру більше вразливостей і експлойтів.
Щорічний хакерський виклик Pwn2Own зазнає серйозних змін.
За словами організаторів з HP Zero Day Initiative, конкурс буде змінено, щоб дозволити кільком хакерам переслідувати один і той самий комп’ютер протягом трьох днів.
Конкурс, який є частиною конференції з безпеки CanSecWest у Ванкувері, більше не матиме мобільних пристроїв як ціль. Натомість хакери будуть націлюватися на повністю виправлені машини Windows 7 і Mac OS X Lion, щоб накопичувати бали на основі вразливостей нульового дня та використаних експлойтів.
Threatpost.com Денніс Фішер має більше про зміни:
http://twitter.com/ryanaraine
Новий формат включатиме призначення балів для кожної з різних цілей у змаганні, як правило, це такі браузери, як Internet Explorer, Firefox і Chrome, що працюють на Mac OS X або Windows машини. Щоб виграти конкурс, учасник повинен мати принаймні одну вразливість нульового дня в одній із цілей. Кожен успішний компроміс цілі з нульовим днем буде коштувати 32 бали, і на відміну від минулих років, цілі не будуть видалені зі змагання, якщо їх успішно скомпрометовано однією дослідник.
Крім того, у перший день конкурсу організатори з HP TippingPoint Zero Day Initiative оголосить про дві раніше виправлені вразливості, які учасники зможуть використовувати для кожної цілі. Тоді вони матимуть три дні, щоб написати експлойт, який працюватиме на задану ціль, хоча очко, нараховане за перемогу, щодня зменшуватиметься. Перемога в перший день приносить 10 очок, дев'ять очок у другий день і вісім у третій. Для цих «загальнодоступних уразливостей» не буде жодної вимоги щодо виходу з пісочниці чи обходу захищеного режиму в браузерах.
Google, як спонсор Pwn2Own, роздасть грошові призи за вразливості, виявлені у веб-браузері Chrome. Гігант пошукової системи пропонує винагороду в розмірі 10 000 доларів США за будь-яку комбінацію вразливості нульового дня/експлойту, яка запускає шкідливий код, який вислизає з пісочниці браузера.
Для HP Zero Day Initiative у оновленому конкурсі буде використано більше вразливостей нульового дня. У минулому хакери витягували імена з капелюха щоб визначити, кому буде дозволено спробувати атаку на виконання коду проти цілі.
Цього року зі змінами це означає, що кілька хакерських команд отримають шанс націлитися на Microsoft ОС Windows або Mac OS X від Apple, інтригуючий крок, який має продемонструвати надійність — або слабкість — обох платформи.
Не зовсім зрозуміло, що станеться з уразливими місцями та експлойтами, які використовують команди, які не фінішують у трійці лідерів. Якщо нові правила залучать багато дослідників, ми можемо зустріти ситуацію, коли команди роздають уразливості нульового дня і нічого не виграють. Навряд чи будь-який дослідник, який знає цінність вразливостей, братиме участь у таких умовах.
Це також була помічена гикавка від Chaouki Bekrar, одного з минулорічних переможців Pwn2Own.