مسابقه Pwn۲Own امسال ۶۴۵ هزار دلار جایزه خواهد داشت.

منبع خبر: آریاوب
تاريخ: ۲۹ بهمن ۱۳۹۲
گروه خبری: تازه های اینترنت

ZDI، برنامه‌ی کشف باگ کمپانی HP است که توسط بخش TippingPoint این شرکت برگزار می‌شود؛ این بخش تولیدکننده‌ی سیستم‌های جلوگیری از نفوذ (IPS) و فایروال‌های تجاری جهت استفاده در شبکه‌های بزرگ شرکتی و تجاری است. در Pwn۲Own امسال، اچ‌پی مبلغ ۶۴۵ هزار دلار را بعنوان جایزه به کسانی که بتوانند باگ های ناشناخته موجود در مرورگرهای گوگل کروم، موزیلا فایرفاکس، اسکپلورر و اپل سافاری یا پلاگین‌های تحت مرورگر ادوبی ریدر، ادوبی فلش و جاوای اوراکل را پیدا کنند پرداخت خواهد کرد.

جزئیات جایزه و اهداف

جایزه‌ی تعیین شده به حات های مختلفی تقسیم شده است؛ به اولین شخصی که بتواند کروم و یا اینترنت اکسپلورر ۱۱ را بر روی پلتفرم ویندوز ۸.۱ هک کند مبلغ ۱۰۰ هزار دلار، برای نفوذ به پلاگین‌های ادوبی فلش یا ریدر در اینترنت اکسپلورر ۱۱ مبلغ ۷۵ هزار دلار، و به همین صورت این مبلغ برای اهداف گوناگون متغیر خواهد بود تا در نهایت با رقم ۳۰ هزار دلار برای نفوذ به جاوا ختم شود. همچنین برای نفوذ به مرورگر سافاری ۶۵ هزار و برای نفوذ به فایرفاکس مبلغ ۵۰ هزار دلار جایزه داده خواهد شد. یک جایزه‌ی ۱۵۰ هزار دلاری جدید هم برای نوعی از نفوذ زنجیره‌ای با نام "نفوذ تک‌شاخ" در نظر گرفته شده که شامل حلقه‌ای از نفوذها است که نه تنها اینترنت اکسپلورر ۱۱ را بر روی پلتفرم ویندوز ۸.۱ هک می‌کند، بلکه دسترسی اجرای کد در سطح سیستمی را نیز هنگامی که ابزار EMET مایکروسافت فعال است بدست می‌آورد. EMET ابزاری است که بطور دستی، تکنولوژی‌های ضدنفوذ نظیر (ASLR (address space layout randomization و (DEP (data execution prevention را برای برنامه‌های مشخصی فعال می‌کند.

برایان گورنک، مدیر تحقیقات آسیب‌پذیری ZDI طی مصاحبه‌ای که در روز جمعه برگزار شد در خصوص این مسابقه می‌گوید: ما به دنبال نمایان کردن توانایی‌های برترین محققان امنیتی دنیا هستیم؛ ما مطلع هستیم که این محققان چشم خود را به EMET دوخته‌اند و از همین رو سعی کردیم با گنجاندن چنین مرحله‌ای، مسابقه را بیش از پیش مشکل کنیم.
برای بدست آوردن جایزه‌ی ۱۵۰ هزار دلاری، هکرها باید sandbox اینترنت اکسپلورر را که یک تکنولوژی دفاعی به منظور محفوظ نمودن مرورگر از دیگر بخش‌های سیستم‌عامل است دور زده و سپس حداقل یک نفوذپذیری سیستم را کشف کرده و دسترسی لازم را بدست آورند؛ تمام این کارها باید در حالی انجام  شود که سیستم امنیتی  EMET نیز فعال باشد. همانگونه که مدیر تحقیقات آسیب پذیری ZDI نیز بیان داشت، EMET بخشی از یک مانع است که به منظور مشکل‌تر کردن نفوذ به سیستم طراحی شده است. با این حال همچنان راهی برای هک کردن سیستم وجود دارد؛ مایکروسافت بطور روزافزونی در حال تکیه بر EMET است به گونه‌ای که از آن بعنوان حفاظی برای جلوگیری از عملکرد باگ‌های کشف شده استفاده نموده و تلاش می‌کند از این طریق زمان بیشتری برای رفع این مشکلات و ارائه آپدیت بخرد. بنابراین در حقیقت این سیستم، در حال پوشاندن تعدادی باگ است که هکرها می‌توانند شیوه‌ی نفوذ به آن‌ها را یافته و از آن بهره برداری نمایند.

رویداد کنفرانس امنیتی

رویداد Pwn۲Own که هشتمین سال برگزاری آن را پیش رو داریم، در تاریخ ۱۲ و ۱۳ مارس در خلال کنفرانس امنیتی CanSecWes در ونکوور کانادا برگزار خواهد شد. گوگل نیز در زمینه امنیت مسابقه اختصاصی Pwnium خود را طی همین کنفرانس و به منظور کشف نفوذپذیری‌های ناشناخته سیستم‌عامل و مرورگر کروم برگذار می‌کند که پیش‌تر به خبر برگذاری دور جدید آن پرداختیم. در طی مسابقه Pwn۲Own، هر تیم به مدت ۳۰ دقیقه زمان خواهد داشت تا نفودپذیری کشف شده توسط خود را توضیح دهد و جایزه را از آن خود کند. در اصل یکی از قوانین نه چندان جالب این مسابقه است که تنها به تیم‌هایی که نام آن‌ها بصورت اتفاقی و از طریق قرعه‌کشی خارج می‌شود فرصت توضیح نفوذپذیری و دریافت جایزه داده می‌شود و در صورتی که تیم دیگری این هک را با موفقیت اجرا کرده باشد جایزه‌ای دریافت نخواهد کرد. این قانون طی دوره‌ی گذشته لغو شد که در نتیجه‌ی آن، چندین جایزه ۲۰ هزار دلاری بخاطر نفوذ به جاوا اهدا شد. در هر صورت به نظر می‌رسد مسئولان برگزاری این دوره نتوانسته‌اند به امنیت این اکوسیستم‌ها اعتماد کرده و هزینه‌های سنگین را بر دوش خود تحمیل نمایند! البته گفته می‌شود با توجه به تعداد شرکت‌کنندگان ممکن است در برخی قسمت‌ها با چندین برنده نیز روبرو باشیم.

Pwn۲Own طی سال‌های گذشته به شدت تحت تاثیر تیم‌های شرکت کننده بوده و به ضرر شرکت‌کنندگان انفرادی به پایان رسیده است. به گونه‌ای که امکان شرکت در این مسابقه بصورت تیمی، موجب شده است که تنها یک تیم به نام Vupen طی سال گذشته ۲۵۰ هزار دلار از جایزه را برای نفوذ به اینترنت اکسپلورر، فایرفاکس، فلش و جاوا از آن خود کند. این مساله اعتراض بسیاری را برانگیخته که در میان آن‌ها بسیاری از برندگان دوره‌های قبل نیز مشاهده می‌شوند که معتقدند کارهای گروهی در این مسابقه هیجان و لذت آن را از بین برده و آن را از یک مهارت فردی جدا کرده است. با این حال برگذار کنندگان اظهار می‌کنند که شرکت‌کنندگان آزاد هستند که تیم تشکیل داده و در نهایت جایزه را میان خود تقسیم کنند و این مساله به هیچ عنوان جذابیت مسابقات را تحت تاثیر قرار نمی‌دهد. در سال ۲۰۱۳، مجموعا مبلغ ۴۸۰ هزار دلار جایزه به برندگان تعلق گرفته است.

بخش TippingPoint کمپانی اچ‌پی و برنامه ZDI آن، از سال ۲۰۰۷ تا کنون حامی مالی مسابقات Pwn۲Own بوده‌اند.