Ilyen egy hackerverseny a világjárvány idején
Idén is megtartották a nemzetközi Pwn2Own hackerversenyt, igaz a világjárványra való tekintettel az etikus hackerek a virtuális térben mutathatták meg tudásokat.A tavaszi Pwn2Own hackerversenyt hagyományosan a Kanadában megrendezésre kerülő CanSecWest biztonsági konferencia részeként szokták megtartani. Idén azonban - érthető okok miatt - a hackerverseny szervezői sem akartak kockáztatni. Ezért úgy határoztak, hogy a 2020-as megmérettetést a virtuális térben szervezik meg. A legtöbb hackelést ez nem akadályozta, egyedül az okosautók kapcsán meghirdetett verseny maradt el. (Az eredeti tervek szerint idén is egy Teslát lehetett volna próbára tenni, de ezt a virtuális világban nem lett volna egyszerű megvalósítani.)
Az első nap
A verseny első napján operációs rendszereket lehetett térdre kényszeríteni. Először a macOS hackelésére került sor, amelyet nem kevesebb mint egy hat sérülékenységet kihasználó támadással, Safarin keresztül sikerült jogosulatlan távoli kódfuttatásra rábírni. A bemutatott exploitokért és támadásért 70 ezer dollár jutalmat kapott a Georgia Tech Systems Software & Security Lab csapata a szervezőktől.
Ezután az Ubuntu Desktop következett, amelyben egy bemeneti paraméterellenőrzési hiányosságot sikerült kiaknáznia a RedRocket CTF csapatnak, és így a versenyzők jogosultsági szint emelést tudtak végrehajtani. Ezért az „akcióért” 30 ezer dolláros díj járt.
Végül a Windows sem maradt ki a sorból. A Fluoroacetate nevű csapat két - jogosultsági szint emelésre lehetőséget adó - sérülékenységet használt ki, amiért 40-40 ezer dolláros jutalomban részesült.
A második nap
A Pwn2Own második napján elsősorban a virtualizációs technológiák kerültek össztűz alá. A VMware Workstation ellen egy komoly támadás indult, de végül nem sikerült teljes mértékben véghez vinniük a versenyzőknek az akciójukat. Ellenben a VirtualBox két támadás során is elbukott. Mindkét esetben a vendég operációs rendszeren keresztül sikerült hozzáférést szerezni a hoszt rendszerhez. Ezekért a támadásokért 40 ezer dollár jutalom járt.
Végül de nem utolsó sorban az Adobe Reader is térdre kényszerült egy 50 ezer dolláros hackelés következtében. (Ehhez a támadáshoz a Windows kernel egyik hibájára is szükség volt.)
Természetesen a versenyzők idén sem oszthatták meg a nyilvánossággal a biztonsági hibák és az exploitok részleteit. Azokat át kellett adniuk a szervezőknek, akik már értesítették az érintett cégeket, fejlesztőket a sebezhetőségekről.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.