В этом году организаторы решили кардинально поменять формат хакерского конкурса Pwn2Own. Во-первых, в конкурсе участвуют только Microsoft Internet Explorer, Apple Safari, Google Chrome и Mozilla Firefox под операционными системами Windows 7 и Mac OS Lion (последние версии со всеми патчами). Мобильные устройства больше взламывать не будут.

Во-вторых, три победителя конкурса получат денежные призы в размере $60 тыс., $30 тыс. и $15 тыс., соответственно, плюс трофей в виде того самого ноутбука с системой, которую им удастся взломать. Спонсором конкурса объявлена компания Hewlett-Packard (HP Zero Day Initiative).

Дополнительные денежные призы выставляет компания Google за взлом браузера Chrome. По $20 тыс. платят за исполнение sandbox-кода, используя только уязвимость в Chrome. В $10 тыс. оценивается исполнение sandbox-кода, используя уязвимость как в Chrome, так и в операционной системе.

И самое главное, изменятся сами правила конкурса. Взломанная система теперь не будет исключаться из состязания, как раньше, так что все остальные участники будут иметь возможность в течение трёх дней конкурса взламывать её своими методами. Соответственно, результат соревнования будет подсчитываться по очкам. За уязвимость 0day участник получит 32 очка. Дополнительно, участник может получить 10, 9 или 8 очков за написание эксплоита к одной из двух уязвимостей, которые огласят перед началом соревнований. Количество очков зависит от того, в какой день конкурса был представлен эксплоит.

По новым правилам получается, что публикация уязвимости 0day не гарантирует хакеру победы в конкурсе. Некоторые команды уже задумались о целесообразности своего участия. С другой стороны, очки распределяются таким образом, что без демонстрации уязвимости 0day тоже победить будет невозможно (если соперник такую показал). В общем, должно стать интереснее.

Известный хакерский конкурс Pwn2Own проходит каждый год во время конференции по безопасности CanSecWest в Ванкувере. В этом году конкурс пройдёт с 7 по 9 марта. Участвовать можно в удалённом режиме: в первый день организаторы выложат виртуальные машины с соответствующей версией браузера и операционной системы и установленным триггером, который будет срабатывать в случае выполнения условий. Для набора очков за эксплоиты нужно будет пользоваться прокси.

Оставить мнение