Félmillió dollárért szállnak ringbe a hackerek

Már gőzerővel zajlanak az előkészületek az idei Pwn2Own hackerversenyre. Több mint félmillió dollárnyi jutalom várja a versenyzőket.
 

A Pwn2Own hackerversenyt először 2007-ben rendezték meg. Akkor elsősorban még az volt a cél, hogy a Mac OS X operációs rendszer sérülékenységeiről lehulljon a lepel. Aztán 2008-ban már a Windows is terítékre került, csakúgy mint néhány webböngésző. Vagyis a versenyzőknek mind több lehetőségük nyílt arra, hogy különféle platformok alatt mutassák meg azt, hogy képesek biztonsági réseket felkutatni és kihasználni.

A 2015-ös Pwn2Own hagyományosan a márciusi CanSecWest konferencia keretében nyitja meg kaput, többek között a HP ZDI (Zero Day Initiative), valamint a Google Project Zero támogatásával. A szponzoroknak köszönhetően idén több mint félmillió dollár áll rendelkezésre a legsikeresebb nevezők jutalmazására. Lesznek pénz és egyéb díjak, ajándékok is. A pénzjutalmak az egyes alkalmazások vonatkozásában a következőképpen oszlanak majd meg:

Google Chrome (64-bit): 75.000 dollár
Internet Explorer 11 (64-bit): 65.000 dollár
Mozilla Firefox: 30.000 dollár
Adobe Reader: 60.000 dollár
Adobe Flash: 60.000 dollár
Apple Safari (OS X Yosemite): 50.000 dollár.

A jutalmak némileg szerényebbek, mint tavaly, hiszen akkor még 100 ezer dollár járt a Chrome és az Internet Explorer súlyos sérülékenységeiért, míg a Firefoxot célkeresztbe állító résztvevőket 50 ezer dolláros jutalom várta. Sőt volt egy különdíj is (150 ezer dollár értékben), amit a Windows 8.1 és az Internet Explorer 11 meghackeléséért lehetett zsebre tenni akkor, ha a versenyző engedélyezett EMET (Enhanced Mitigation Experience Toolkit) védelem mellett is ki tudta használni a felfedezett sebezhetőséget.

Természetesen azért az idei összdíjazás sem mondható kicsinek, azonban ezért meg is kell dolgozni. Csak azon sérülékenységekért jár jutalom, amelyek az alkalmazások aktuálisan legfrissebb verzióinak esetében is kihasználhatók jogosulatlan kódfuttatásra. Mindezt úgy kell megvalósítani, hogy az exploit ne akadjon fent a DEP (Data Execution Prevention ), az ASRL (Address Space Layout Randomization) és az alkalmazásokban esetlegesen meglévő sandbox védelmen se. Továbbá Windows alatt az EMET-et is meg kell kerülni. 

Idén is alapszabály, hogy a versenyzők nem publikálhatják az általuk felfedezett sebezhetőségek részleteit, hanem minden információt és exploitot át kell adniuk a HP ZDI csapatának, amely értesíti az érintett fejlesztőket a biztonsági résekről, hogy aztán a frissítések minél hamarabb elkészülhessenek.