Два хакера должны найти в течении часа как можно больше уязвимостей в ранее
им неизвестном коде – так звучит задача конкурса хакеров который будет
происходить на конференции Black Hat в США в следующем месяце.
Первый учасник - Чарли Миллер, главный аналитик Independent Security
Evaluators, будет использовать fuzzing технологии для нахождения уязвимостей
в коде. Второй хакер - Шон Фей, ведущий инженер Fortify, будет
использовать его собственные программы для статического анализа кода.
Fuzzing это технология
тестирования программ, когда вместо ожидаемых входных данных программе
передаются случайные данные. Если программа зависает или завершает работу это
считается нахождением дефекта в программе, который может привести к обнаружению
уязвимости. Большим преимуществом фуззинга является его простота и возможность
автоматического анализа.
Как показал опыт предыдущих соревнований (соревнование уже проходило на
прошлой конференции Black Hat), работоспособные эксплоиты более желательны
публике и судьям чем теоретические, пусть даже более значительные, уязвимости.
Соревнующиеся могут принести с собой компьютеры и воспользоваться собственными
программами, но они не могут видеть код до начала состязания. Зрители могут
также заняться поиском параллельно с участниками. Проведение конкурса будет
комментироваться известными экспертами.
Победитель получит символическую награду – бесплатный обед в одном из новых
ресторанах Лас-Вегаса. Основной мотивацией для хакеров поэтому является слава,
заявляют организаторы мероприятия.