Ежегодный хакерский контест Pwn2Own вот уже восемь лет регулярно проводится в рамках конференции CanSecWest в Ванкувере. Но в будущем конкурсу, похоже, придется нелегко. Из-за ужесточения терминов Вассенаарских соглашений, соревнование лишилось своего главного спонсора – компании Hewlett-Packard.
Стоит сказать, что организация конкурса Pwn2Own уходит корнями к небезызвестной Zero Day Initiative (ZDI), которую, в свою очередь, основала компания TippingPoint, являющаяся дочерним предприятием HP. Вот такой «дом, который построил Джек».
В этом году на Pwn2Own планировали предложить призы в размере от $25 000 до $75 000 за обнаружение действующей уязвимости, а также дополнительные $10 000 за экплоит для Google Chrome. Также в Токио должен был состояться контест Pwn2Own Mobile. Однако эхо холодной войны, в виде Вассенаарских соглашений, дотянулось до современного мира и компании Hewlett-Packard, поставив финансирование мероприятий под вопрос.
Здесь не помешает маленькая историческая справка. Вассенаарские договоренности, это соглашение, заключенное в июле-декабре 1996 года в городе Вассенаар (Нидерланды) 33 странами, с целью повышения ответственности при передачах обычных вооружений и товаров и технологий «двойного применения» для предотвращения их дестабилизирующих накоплений. На сегодняшний день соглашения поддерживает уже 41 страна.
В текущем 2015 году Вассенаарские соглашения решили расширить, пополнив перечень вооружений и нехороших товаров «программами, использующимися для вторжений, а также программными уязвимостями». Под это определение, разумеется, подпадают 0day-уязвимости. В итоге, из-за формулировок, использованных в документе, которые корпорация Google уже назвала «опасно расплывчатыми», компании и специалисты в области информационной безопасности теперь обязаны иметь лицензию на экспорт, когда и если они собираются сообщить о какой-либо уязвимости.
Фактически, новые поправки запрещают экспорт ПО «созданного специально», с целью избежания обнаружения в компьютерных сетях и на иных устройствах. Также запрещен экспорт программ способных «выполнять извлечение данных с компьютеров и других сетевых устройств, модифицировать системную или пользовательскую информацию; способных модифицировать стандартные пути выполнения программ или процессов».
Данные поправки могут отпугнуть многих исследователей, удержав их от открытых обсуждений или публикаций обнаруженных уязвимостей. Профессионалы вполне могут обратить свой взор в сторону blackhat-операций и начать зарабатывать не совсем легально, особенно если пострадают программы вознаграждений за уязвимости.
Но пока поправки отпугнули только компанию HP, потратившую более миллиона долларов на анализ изменений в Вассенаарских соглашениях, от известного конкурса Pwn2Own. Представители Hewlett-Packard заявили:
«В связи со сложностью получения лицензий на импорт\экспорт, в режиме реального времени, в странах поддерживающих Вассенаарские соглашения, ZDI уведомила организатора конференции Драгоса Руи (Dragos Ruiu) о том, что не будет поддерживать конкурс Pwn2Own, который должен был пройти в рамках PacSecWest в ноябре 2015 года».
Речь идет о полной отмене конкурса в Токио. Драгос Руи высказался о происходящем в своем твиттере, сообщив, что он будет искать других спонсоров и попытается провести контест в другом месте. Не совсем ясно, что будет с основным Pwn2Own, потому что «привезти» уязвимости из других стран теперь вообще проблема.
The first bona fide casualty of the Wassenaar changes: HP won't be doing PWN2OWN Mobile in Japan due to new export restrictions. But...
— dragosr (@dragosr) September 1, 2015
I still like hacker circuses, and have ordered my own RF Isolation cage for Japan. PWN2OWN Mobile marches on. Stand by for details.
— dragosr (@dragosr) September 1, 2015
Like the Internet we'll route around export blocks, solve by handing bugs over to local reps in .jp don't need to feed bugs back to US
— dragosr (@dragosr) September 1, 2015
Впрочем, возможно, причиной для такого решения HP послужили не только новые поправки, добавленные в Вассенаарские соглашения. Неделю назад, 2 сентября 2015 года, агентство Reuters сообщило, что Hewlett-Packard намеревается продать компанию Tipping Point. Последнюю оценили примерно в 200-300 миллионов долларов.
На фото команда Vupen на Pwn2Own 2012. Фото: Wired