Ежегодный хакерский контест Pwn2Own вот уже восемь лет регулярно проводится в рамках конференции CanSecWest в Ванкувере. Но в будущем конкурсу, похоже, придется нелегко. Из-за ужесточения терминов Вассенаарских соглашений, соревнование лишилось своего главного спонсора – компании Hewlett-Packard.

Стоит сказать, что организация конкурса Pwn2Own уходит корнями к небезызвестной Zero Day Initiative (ZDI), которую, в свою очередь, основала компания TippingPoint, являющаяся дочерним предприятием HP. Вот такой «дом, который построил Джек».

В этом году на Pwn2Own планировали предложить призы в размере от $25 000 до $75 000 за обнаружение действующей уязвимости, а также дополнительные $10 000 за экплоит для Google Chrome. Также в Токио должен был состояться контест Pwn2Own Mobile. Однако эхо холодной войны, в виде Вассенаарских соглашений, дотянулось до современного мира и компании Hewlett-Packard, поставив финансирование мероприятий под вопрос.

Здесь не помешает маленькая историческая справка. Вассенаарские договоренности, это соглашение, заключенное в июле-декабре 1996 года в городе Вассенаар (Нидерланды) 33 странами, с целью повышения ответственности при передачах обычных вооружений и товаров и технологий «двойного применения» для предотвращения их дестабилизирующих накоплений. На сегодняшний день соглашения поддерживает уже 41 страна.

В текущем 2015 году Вассенаарские соглашения решили расширить, пополнив перечень вооружений и нехороших товаров «программами, использующимися для вторжений, а также программными уязвимостями». Под это определение, разумеется, подпадают 0day-уязвимости. В итоге, из-за формулировок, использованных в документе, которые корпорация Google уже назвала «опасно расплывчатыми», компании и специалисты в области информационной безопасности теперь обязаны иметь лицензию на экспорт, когда и если они собираются сообщить о какой-либо уязвимости.

Фактически, новые поправки запрещают экспорт ПО «созданного специально», с целью избежания обнаружения в компьютерных сетях и на иных устройствах. Также запрещен экспорт программ способных «выполнять извлечение данных с компьютеров и других сетевых устройств, модифицировать системную или пользовательскую информацию; способных модифицировать стандартные пути выполнения программ или процессов».

Данные поправки могут отпугнуть многих исследователей, удержав их от открытых обсуждений или публикаций обнаруженных уязвимостей. Профессионалы вполне могут обратить свой взор в сторону blackhat-операций и начать зарабатывать не совсем легально, особенно если пострадают программы вознаграждений за уязвимости.

Но пока поправки отпугнули только компанию HP, потратившую более миллиона долларов на анализ изменений в Вассенаарских соглашениях, от известного конкурса Pwn2Own. Представители Hewlett-Packard заявили:

«В связи со сложностью получения лицензий на импорт\экспорт, в режиме реального времени, в странах поддерживающих Вассенаарские соглашения, ZDI уведомила организатора конференции Драгоса Руи (Dragos Ruiu) о том, что не будет поддерживать конкурс Pwn2Own, который должен был пройти в рамках PacSecWest в ноябре 2015 года».

Речь идет о полной отмене конкурса в Токио. Драгос Руи высказался о происходящем в своем твиттере, сообщив, что он будет искать других спонсоров и попытается провести контест в другом месте. Не совсем ясно, что будет с основным Pwn2Own, потому что «привезти» уязвимости из других стран теперь вообще проблема.

Впрочем, возможно, причиной для такого решения HP послужили не только новые поправки, добавленные в Вассенаарские соглашения. Неделю назад, 2 сентября 2015 года, агентство Reuters сообщило, что Hewlett-Packard намеревается продать компанию Tipping Point. Последнюю оценили примерно в 200-300 миллионов долларов.

На фото команда Vupen на Pwn2Own 2012. Фото: Wired

1 комментарий

  1. Al1en

    09.09.2015 at 14:24

    Вот это да! А интересно если показать действие программы через скайп к примеру, то это наверное будет нарушением «визуального экспорта» программ двойного назначения =)

Оставить мнение