The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla

15.01.2019 21:10

Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов.

В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.

При этом в состав будущего соревнования добавлена новая категория премий за взлом информационных систем автомобиля Tesla Model 3, общий размер призовых выплат в которой составляет более 900 тысяч долларов. Связанные с Tesla номинации затрагивают получение контроля за шиной CAN Bus, оставление вредоносного ПО активным после перезапуска, проведение атак на модем, тюнер, Wi-Fi, Bluetooth, информационно-развлекательную систему, автопилот и функцию использования смартфона в роли ключа.

Наибольший приз, размером 250 тысяч долларов, предусмотрен за управляемое выполнение кода в контексте подсистем Gateway (связывает все информационные системы автомобиля), Autopilot или VCSEC (подсистема обеспечения безопасности). За инициирование сбоя в работе автопилота предлагается премия в 50 тысяч долларов, за разблокировку замков, запуск двигателя без ключа и получения контроля за шиной CAN - 100 тысяч, за получение root-доступа к информационно-развлекательной системе - 85 тысяч долларов.

Номинации связанные с серверными технологиями ограничились призом за взлом Microsoft Windows RDP (приз 150 тысяч долларов). Награды за эксплуатацию уязвимость в пользовательских приложениях предусмотрены для Adobe Reader (40 тысяч), Microsoft Office 365 ProPlus (60 тысяч) и Microsoft Outlook (100 тысяч). Номинации атак на браузеры заявлены для Google Chrome (80 тысяч), Microsoft Edge (50, 60 и 80 тысяч), Apple Safari (55 и 65 тысяч) и Mozilla Firefox (40 и 50 тысяч). Из участвующих в соревновании систем виртуализации отмечены VirtualBox (35 тысяч), VMware Workstation (70 тысяч), VMware ESXi (150 тысяч) и Microsoft Hyper-V Client (250 тысяч). Отдельно предусмотрена номинация за повышение привилегий через эксплуатацию уязвимости в ядре Windows (30 тысяч).

  1. Главная ссылка к новости (https://www.zerodayinitiative....)
  2. OpenNews: На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
  3. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  4. OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
  5. OpenNews: На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox
  6. OpenNews: На соревновании Pwn2Own 2017 появились номинации за взлом Linux и Apache httpd
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: pwn2own
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (42) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, MPEG LA (ok), 21:24, 15/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    это потому что 1% или линакс идеален и ломать там нечего?
     
     
  • 2.6, Константавр (ok), 21:44, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +16 +/
    1% ??? Я думаю, на серваках им ой как интересно. Тут скорее "спонсор" объявился, который на букву "М", он всем популярно объяснил на какой платформе надо сконцентрироваться, потому что он проплатил поиск проблем в своей системе, а не у конкурентов.
     
     
  • 3.7, Annoynymous (ok), 21:45, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Странный спонсор. Теперь все будут говорить, что на pwn2own поломали всех, кроме Linux.
     
     
  • 4.11, пох (?), 22:30, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    нет, говорить будут что линукс вон каждый год ломали, а теслу никто не взломал.

    потому что если ты можешь взломать теслу - тебе те копейки нафиг не упали - просто каждый день новая тесла будет автоуезжать от дома счастливого владельца прямиком куда-нибудь в гаражи на окраине - даже по запчастям должно получиться неплохо.

    А привлечь тебя если даже поймают- очень сложно - "она же сама уехала, я даже близко к ней не подходил".

     
     
  • 5.17, Annoynymous (ok), 22:56, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > просто каждый день новая тесла будет автоуезжать от
    > дома счастливого владельца прямиком куда-нибудь в гаражи на окраине - даже
    > по запчастям должно получиться неплохо.

    С тем же успехом можно сказать, что если ты умеешь ломать линукс, то на тебя майнят все серверы мира и те копейки тебе нафиг не упали.

     
     
  • 6.27, Аноним (27), 02:49, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ко всем серверам мира приставлен админ на зарплате, а десктопные лоханки на винде администрирует такие специалисты как твоя бабушка и школота. Вопрос, где дольше проживет малварь-майнер?
     
  • 6.29, Аноним (29), 03:24, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Живем ведь один раз чтобы идти в размен со своей кармой!
     
  • 6.38, нах (?), 09:43, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да ты попробуй чего намайни на тех серверах - я вот пробовал, чота расстроился. От майнинга в браузере и то больше толка - не даром они все нынче у нас лезут в gpu. Но эту номинацию, смотрю, тоже отменили ;-)

    Вот если ломануть пул или рабочую станцию дятла-майнера - тогда профит есть, ну так они в конкурсе и не участвуют по этой причине ;-)

     
     
  • 7.51, Annoynymous (ok), 20:24, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > да ты попробуй чего намайни на тех серверах - я вот пробовал, чота расстроился.

    Да ладно, бесплатно-то и уксус сладкий :-)

     
     
  • 8.53, нах (?), 10:41, 17/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну какое там бесплатно - найди уязвимость, напиши эксплойт - не на пруф оф консе... текст свёрнут, показать
     
  • 4.50, Ordu (ok), 20:04, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какое Маску дело до этого?
     
     
  • 5.55, Michael Shigorin (ok), 01:40, 18/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Какое Маску дело до этого?

    Пиар, очевидно.  Ну ему-то ещё какое бывает?

     
  • 3.25, Аноним (25), 01:31, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Гениальный ход купить десяточку про, переплатив и ради взлома, а может и не сломает но уже куплено? MS и тут зарабатывает...
     
  • 2.21, Иван (??), 23:35, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Линукс убрали по результатам прошлого года. Очень легко стало находить баги.

    https://www.tomshardware.com/news/pwn2own-2018-kernel-exploits-focus,36679.htm

    Две цитаты:
    1. Focus Changes To Kernel Exploits As Browsers Get Harder To Hack.
    2. Kernel Exploits, The New “Go-To” For Browser Hackers. All the exploits that succeeded in breaking Safari, Edge, and Firefox’s security took advantage of OS kernel flaws or some other kind of sandbox escape.

    Собственно в этом году решили за нахождение дырки в дуршлаге не платить.

    Я серьезно. Возможно некоторые считают, что ядро Линуска супер-не-ломаемое, но это не так. Если кто не верит, может заглянуть на https://syzkaller.appspot.com/#upstream . Собственно вот вам и список на 542 уязвимости (UaFs, info leaks, всё что душе угодно). И каждый день находится ещё 1-3 новые. Почему никто не делает эксплоиты на это? Просто потому что никому не нужно. Но если организаторы pwn2own предлагают за это денюжку, то можно и написать.

    Disclaimer. У некоторых могло возгореть от прочитанного. Я не говорю, что Линукс хуже других. Я лишь говорю, что ситуация с уязвимостями в Линуксе не идеальная.

     
     
  • 3.28, Генус (?), 03:13, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну и обе твои цитаты высказаны обо всех ядрах всех ОС,а не только о линуксе.
    Там прямо это указано. Но наблюдательный пользователь поймёт и по упоминанию в твоих цитатах сафари.

    Я не говорю, что ядро Линукс без дыр, но в ходе этого мероприятия их больше заинтересовали прорывы песочниц браузерами в Винде. Взять тот же Firefox из статьи.

    Кстати, там и названы причины - в ядре Линукс найденные дырки латают сильно быстрее, в отличии от...

     
  • 3.41, нах (?), 10:23, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему никто не делает эксплоиты на это?

    почему же не делают? Делают. Червяки пришедшие по ssh юзером test или oracle - через секунду становятся рутом, причем чаще всего это zero day.

    В паблик не выкладывают - ну так а зачем, заткнут дыру, опять пол-дня терять новый эксплойт писать, а майнингу не хватает мощностей.

     
  • 3.42, Аноним (42), 10:39, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему я не делаю эксплоиты на это?
    > Просто потому что не умею.

    Кто бы сомневался.

     
  • 2.24, Аноним (-), 00:05, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это чтобы не было мотивации свежие закладки раскрыть.
     

  • 1.5, Аноним (5), 21:31, 15/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Надо ехать хоть денег можно заработать
     
  • 1.8, Аноним (8), 21:46, 15/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну это ШОУ. За Взлом Теслы выдадут Тэслу. А за взлом Линукс - что?
     
     
  • 2.10, klalafuda (?), 22:01, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Подозреваю что за качественный удаленный взлом линукса можно смело просить несколько тесл. И вполне себе дадут.
     
     
  • 3.12, пох (?), 22:34, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    эммм... вообще-то 250 тыщ долларов - это не "несколько", а несколько десятков model3. Даже S'ок выйдет поболее десяти, по-моему, она на родине тыщ 12 сейчас стоит - "устаревшая модель, начала 2018 года".


    но если по твоей команде тесла уезжает от хозяина - ты можешь себе набрать парк не в десятки, а в сотни.

     
     
  • 4.32, zoonman (ok), 07:30, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нормальная покупабельная тесла стоит примерно 60 килобаксов после выплаты всех налогов и сборов.
    Американцы берут такие машины в кредит, ибо сразу заплатить дорого, а ездить хочется прямо сейчас.
     
     
  • 5.40, нах (?), 10:19, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    если бы тебе давали кредит под 0% (а автокредиты у проклятых мериканцев либо под 0, в виде "уникального предложения, действует следующие 24 часа" (обновляется каждый день ;-) либо под копейки ниже инфляционных потерь) - ты бы тоже свой жигулятор брал в кредит. Но производителю хочется всех твоих денег прямо сейчас, а деваться с подводной лодки тебе некуда.

     
     
  • 6.56, Michael Shigorin (ok), 01:44, 18/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > если бы тебе давали кредит под 0%

    ...то ты бы разожрался так, что или цены бы попёрли как у проклятых американцев на недвижимость, или "движение бабла" со всех этих перекредитаций пришлось бы срочно рассовывать по пузырям... ой, опять как у.

    Нормальные люди всё-таки помнят, что ничто из ниоткуда не берётся.  Даже удар "пустой" рукой.

     
  • 4.34, Аноним (34), 07:41, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > вообще-то 250 тыщ долларов - это не "несколько", а несколько десятков model3. Даже S'ок выйдет поболее десяти, по-моему, она на родине тыщ 12 сейчас стоит - "устаревшая модель, начала 2018 года".

    Я как человек пытавшийся недавно купить теслу (в штатах), замечу:
    Новая Model S в базовой комплектации + налоги это где-то $90К, даже 5ти летнюю S-ку за $30К ты вряд ли купишь. Новая тройка где-то в $33К обойдется и ты её ещё ждать будешь полгода.

    Я понимаю, пох, что ты недалёк, но элементарно погуглить мог бы.

     
  • 4.36, Аноним (34), 07:50, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для справки:
    Model S P100D   $133,000 + налоги (~10%)
     
     
  • 5.54, нах (?), 10:44, 17/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Для справки:
    > Model S P100D   $133,000 + налоги (~10%)

    ну что поделать, придется успешному белому хакеру на трешке ездить, иначе каждый день на новой не получится, как у чорного-пречорного :(

     
  • 2.18, Аноним (18), 22:59, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >За Взлом Теслы выдадут Тэслу. А за взлом Линукс - что?

    Линукс. Дадут тебе коллекционное издание убунты.

     
     
  • 3.19, Q (??), 23:18, 15/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ubuntu GOTY
     
     
  • 4.26, имя (?), 01:53, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    76
     
     
  • 5.37, my_name_is_Mud (ok), 08:35, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нативные корованы! Джва года ждал!
     

  • 1.31, псевдонимус (?), 05:37, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.

    Ну и какой смысл в этом конкурсе? Или боятся подпортить репутацию линукс-систем?

     
     
  • 2.35, Аноним (34), 07:45, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кто девушку поит, тот её и танцует.
     
  • 2.39, нах (?), 09:47, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  Ну и какой смысл в этом конкурсе? Или боятся подпортить репутацию линукс-систем?

    просто не хотят платить денег за то, что каждый дурак сможет. репутация там и так ниже плинтуса.

    причем если сегодня дыр найти не удалось - надо просто немножко подождать, stable codebase is nonsense так же как api, завтра провертят парочку новых. Послезавтра заткнут пальцем, но ты уже можешь быть в числе призеров.

      

     
     
  • 3.43, Аноним (43), 10:42, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это Вы на systemd намекаете ;)
     
     
  • 4.49, нах (?), 17:22, 16/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это Вы на systemd намекаете ;)

    зочем вы тгавите? Поверьте, у нас еще много-много вариантов разных дыр, уровня gethostbyname (glibc, remote root, три, что-ли, года), dccp (in-kernel) и n_tty.c (пять лет local root? рекорд)

    прекрасно проживем и без systemd-exploitd - какой там объем патча у 5.0 ? Ну, вот... успехов все это верифицировать или хотя бы бегло просмотреть.

     
     
  • 5.58, псевдонимус (?), 17:27, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >(пять лет local root?

    НОТАБУГ! ЛОКАЛЬНО НЕ СЧЕТОВО!! В ВЫНЬДЕ ТЫ ДАЖЕ НЕ ЗНАЕШЬ, СКОЛЬКО У ТЕБЯ ДЫР И ВООБЩЕ ЕЙ КАПЕЦ!!!

     
  • 3.59, псевдонимус (?), 17:35, 19/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда лучше и честнее работать на ребят в чёрных шапках.
     

  • 1.44, J.L. (?), 11:55, 16/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd)

    по-моему это дискриминация!
    чем больше хонипотов - тем лучше, а тут ещё и с наградой

     
  • 1.52, лютый жабист__ (?), 09:12, 17/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не понял почему так мало времени дают, всего 2 месяца? Я про замкад молчу, год наверное уйдёт. Но даже в штатах надо больше 2 месяцев.
    Провоцируют угоны...
     
  • 1.57, Иваныч (??), 00:46, 19/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Плавненько так убрали от общества новые закладки в линухах..
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру