В Pwn2Own 2020 увеличены выплаты за взлом Tesla и возвращена номинация за взлом Ubuntu
10 января 2020 года
Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2020, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 18 по 20 марта в рамках конференции CanSecWest в Ванкувере. Общий размер призового фонда в 2020 году составит более 4 млн долларов США, не считая новый автомобиль Tesla Model 3 в качестве приза.
Как и в прошлом году, наиболее существенные вознаграждения назначены за взлом информационных систем автомобиля Tesla Model 3. Наивысшая награда в 500 тысяч долларов назначена на создание многоуровневого эксплоита, позволяющего добиться выполнения своего кода сразу на уровне нескольких автомобильных подсистем (начальное проникновение через Wi-Fi, Bluetooth или тюнер с последующей эксплуатацией уязвимости в информационно-развлекальной подсистеме и получением постоянного доступа к VCSEC, шлюзу или автопилоту). Кроме того, назначены дополнительные призы за root-доступ к информационно-развлекальной подсистеме ($50000), контроль за шиной CAN Bus ($100 000) и root-доступ к окружению автопилота ($50 000), которые увеличивают максимальную выплату до 700 тысяч долларов.
За создание эксплоита, обходящего защиту двух подсистем назначены вознаграждения в 250, 300 и 400 тысяч долларов. Также назначены 8 призов размером от 35 до 200 тысяч долларов за получение контроля за шиной CAN Bus, оставление вредоносного ПО активным после перезапуска, проведение атак на модем, тюнер, Wi-Fi, Bluetooth, информационно-развлекательную систему, автопилот и функцию использования смартфона в роли ключа. Суммарный размер призового фонда в категориях, связанных с Tesla составляет 2 миллиона 490 тысяч долларов.
Среди других номинаций в Pwn2Own 2020:
- Взлом браузеров Chrome, Firefox, Safari и Microsoft Edge (как на базе EDGEHTML, так и с движком Chromium);
- Взлом систем виртуализации Oracle VirtualBox, VMware Workstation, и Microsoft Hyper-V Client;
- Взлом Microsoft Office и Adobe Reader;
- Взлом Microsoft Windows RDP;
- Создание эксплоита для локального повышения привилегий в Ubuntu и Windows.
Как и в прошлом году в призовые номинации не вошли взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Тем не менее, возвращена номинация за локальное повышение привилегий в Ubuntu.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.