Pwn2Own ಹ್ಯಾಕಿಂಗ್ ಸ್ಪರ್ಧೆಯಾಗಿದೆ 2007 ರಿಂದ ಪ್ರಾರಂಭವಾಗುವ ಕ್ಯಾನ್ಸೆಕ್ವೆಸ್ಟ್ ಭದ್ರತಾ ಸಮ್ಮೇಳನದಲ್ಲಿ ವಾರ್ಷಿಕವಾಗಿ ನಡೆಯುತ್ತದೆ. ಭಾಗವಹಿಸುವವರು ಸಾಫ್ಟ್ವೇರ್ ಮತ್ತು ಮೊಬೈಲ್ ಸಾಧನಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಸವಾಲನ್ನು ಎದುರಿಸುತ್ತಾರೆ ಇಲ್ಲಿಯವರೆಗೆ ಅಪರಿಚಿತ ದುರ್ಬಲತೆಗಳೊಂದಿಗೆ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
ಸ್ಪರ್ಧೆಯ ವಿಜೇತರು ಅವರು ಬಳಸಿದ ಸಾಧನ, ನಗದು ಬಹುಮಾನ ಮತ್ತು “ಮಾಸ್ಟರ್ಸ್” ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆತನ್ನ ವಿಜಯದ ವರ್ಷವನ್ನು ಆಚರಿಸುತ್ತಿದೆ. "Pwn2Own" ಎಂಬ ಹೆಸರನ್ನು ಪಡೆಯಲಾಗಿದೆ, ಭಾಗವಹಿಸುವವರು ಸಾಧನವನ್ನು "ಹೊಂದಲು" ಅಥವಾ ಅದನ್ನು ಗೆಲ್ಲಲು "pwn" ಮಾಡಬೇಕು ಅಥವಾ ಹ್ಯಾಕ್ ಮಾಡಬೇಕು.
ಸ್ಪರ್ಧೆ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ಸಾಧನಗಳು ಮತ್ತು ಸಾಫ್ಟ್ವೇರ್ಗಳ ದುರ್ಬಲತೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು Pwn2Own ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಮತ್ತು ಇದು ಹಿಂದಿನ ವರ್ಷದಿಂದ ಸುರಕ್ಷತೆಯಲ್ಲಿ ಮಾಡಿದ ಪ್ರಗತಿಯ ಪರಿಶೀಲನಾ ಕೇಂದ್ರವನ್ನೂ ಸಹ ಒದಗಿಸುತ್ತದೆ.
Pwn2Own 2020 ಬಗ್ಗೆ
Pwn2Own 2020 ರ ಈ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ, ಈ ವರ್ಷದಲ್ಲಿ ಸ್ಪರ್ಧೆಗಳು ವಾಸ್ತವಿಕವಾಗಿ ನಡೆದವು ಮತ್ತು ದಾಳಿಯನ್ನು ಆನ್ಲೈನ್ನಲ್ಲಿ ತೋರಿಸಲಾಯಿತು, ಕಾರ್ನೊನವೈರಸ್ (ಕೋವಿಡ್ -19) ಹರಡುವಿಕೆಯಿಂದ ಉಂಟಾದ ಸಮಸ್ಯೆಗಳಿಂದಾಗಿ, ನಿಮ್ಮ ಸಂಘಟಕರು ಇದೇ ಮೊದಲ ಬಾರಿಗೆ Ero ೀರೋ ಡೇ ಇನಿಶಿಯೇಟಿವ್ (ZDI), ಈವೆಂಟ್ ಅನ್ನು ಸಂಘಟಿಸಲು ನಿರ್ಧರಿಸಿದ್ದಾರೆ ಭಾಗವಹಿಸುವವರಿಗೆ ಪ್ರದರ್ಶಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ ದೂರದಿಂದ ಅವನ ಶೋಷಣೆಗಳು.
ಸ್ಪರ್ಧೆಯ ಸಮಯದಲ್ಲಿ ದೋಷಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ವಿವಿಧ ಕೆಲಸದ ತಂತ್ರಗಳನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಲಾಯಿತು ಹಿಂದೆ ತಿಳಿದಿಲ್ಲ ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ (ಲಿನಕ್ಸ್ ಕರ್ನಲ್), ವಿಂಡೋಸ್, ಮ್ಯಾಕೋಸ್, ಸಫಾರಿ, ವರ್ಚುವಲ್ಬಾಕ್ಸ್ ಮತ್ತು ಅಡೋಬ್ ರೀಡರ್.
ಪಾವತಿಗಳ ಒಟ್ಟು ಮೊತ್ತ 270 ಸಾವಿರ ಡಾಲರ್ (ಒಟ್ಟು ಬಹುಮಾನ ಪೂಲ್ ಯುಎಸ್ $ 4 ಮಿಲಿಯನ್ಗಿಂತ ಹೆಚ್ಚಿತ್ತು).
ಸಂಕ್ಷಿಪ್ತವಾಗಿ, ಸ್ಪರ್ಧೆಯ ಎರಡು ದಿನಗಳ ಫಲಿತಾಂಶಗಳು ಕ್ಯಾನ್ಸೆಕ್ವೆಸ್ಟ್ ಸಮ್ಮೇಳನದಲ್ಲಿ ವಾರ್ಷಿಕವಾಗಿ ನಡೆಯುವ Pwn2Own 2020 ಈ ಕೆಳಗಿನಂತಿವೆ:
-
- Pwn2Own 2020 ರ ಮೊದಲ ದಿನದಲ್ಲಿ, ಜಾರ್ಜಿಯಾ ಸಾಫ್ಟ್ವೇರ್ ಮತ್ತು ಸೆಕ್ಯುರಿಟಿ ಲ್ಯಾಬ್ನ ತಂಡ ಟೆಕ್ ಸಿಸ್ಟಮ್ಸ್ (@SSLab_Gatech) ಮ್ಯಾಕೋಸ್ ಕರ್ನಲ್ ಮಟ್ಟದ ಸವಲತ್ತು ಉಲ್ಬಣದೊಂದಿಗೆ ಸಫಾರಿ ಹ್ಯಾಕ್ ಮತ್ತು ಕ್ಯಾಲ್ಕುಲೇಟರ್ ಅನ್ನು ಮೂಲ ಸವಲತ್ತುಗಳೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಿ. ದಾಳಿ ಸರಪಳಿಯು ಆರು ದೋಷಗಳನ್ನು ಒಳಗೊಂಡಿತ್ತು ಮತ್ತು ತಂಡಕ್ಕೆ, 70,000 XNUMX ಗಳಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.
- ಈವೆಂಟ್ ಸಮಯದಲ್ಲಿ "ರೆಡ್ರಾಕೆಟ್" ನ ಮ್ಯಾನ್ಫ್ರೆಡ್ ಪಾಲ್ ಉಬುಂಟು ಡೆಸ್ಕ್ಟಾಪ್ನಲ್ಲಿ ಸ್ಥಳೀಯ ಸವಲತ್ತುಗಳ ಉಲ್ಬಣವನ್ನು ಪ್ರದರ್ಶಿಸುವ ಉಸ್ತುವಾರಿ ವಹಿಸಿದ್ದರು ಇನ್ಪುಟ್ ಮೌಲ್ಯಗಳ ತಪ್ಪಾದ ಪರಿಶೀಲನೆಗೆ ಸಂಬಂಧಿಸಿದ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ನಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಶೋಷಣೆಯ ಮೂಲಕ. ಇದು ಅವರಿಗೆ $ 30 ಬಹುಮಾನವನ್ನು ಗಳಿಸಲು ಕಾರಣವಾಯಿತು.
- ಸಹ ವರ್ಚುವಲ್ಬಾಕ್ಸ್ನಲ್ಲಿ ಅತಿಥಿ ಪರಿಸರವನ್ನು ಬಿಟ್ಟು ಹೈಪರ್ವೈಸರ್ನ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಮೂಲಕ ಪ್ರದರ್ಶನವನ್ನು ಮಾಡಲಾಗಿದೆಎರಡು ದೋಷಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ: ನಿಯೋಜಿಸಲಾದ ಬಫರ್ನ ಹೊರಗಿನ ಪ್ರದೇಶದಿಂದ ಡೇಟಾವನ್ನು ಓದುವ ಸಾಮರ್ಥ್ಯ ಮತ್ತು ಪ್ರಾರಂಭಿಸದ ಅಸ್ಥಿರಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ದೋಷ, ಈ ನ್ಯೂನತೆಯನ್ನು ಸಾಬೀತುಪಡಿಸುವ ಬಹುಮಾನ $ 40. ಸ್ಪರ್ಧೆಯ ಹೊರಗೆ, ero ೀರೋ ಡೇ ಇನಿಶಿಯೇಟಿವ್ನ ಪ್ರತಿನಿಧಿಗಳು ಮತ್ತೊಂದು ವರ್ಚುವಲ್ಬಾಕ್ಸ್ ಟ್ರಿಕ್ ಅನ್ನು ಸಹ ಪ್ರದರ್ಶಿಸಿದರು, ಇದು ಅತಿಥಿ ಪರಿಸರದಲ್ಲಿ ಕುಶಲತೆಯ ಮೂಲಕ ಆತಿಥೇಯ ವ್ಯವಸ್ಥೆಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
- ನ ಎರಡು ಪ್ರದರ್ಶನಗಳು ದೋಷಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ ವಿಂಡೋಸ್ನಲ್ಲಿ ಸ್ಥಳೀಯ ಸವಲತ್ತು ಹೆಚ್ಚಳ ಇದು ಈಗಾಗಲೇ ಬಿಡುಗಡೆಯಾದ ಮೆಮೊರಿ ಪ್ರದೇಶಕ್ಕೆ ಪ್ರವೇಶಿಸಲು ಕಾರಣವಾಗುತ್ತದೆ, ಈ ಎರಡು ಬಹುಮಾನಗಳನ್ನು ತಲಾ 40 ಸಾವಿರ ಡಾಲರ್ಗಳಿಗೆ ನೀಡಲಾಯಿತು.
- ಪಿಡಿಎಫ್ ಡಾಕ್ಯುಮೆಂಟ್ ತೆರೆಯುವಾಗ ವಿಂಡೋಸ್ನಲ್ಲಿ ನಿರ್ವಾಹಕರ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಿರಿ ವಿಶೇಷವಾಗಿ ಅಡೋಬ್ ರೀಡರ್ನಲ್ಲಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಆಕ್ರಮಣವು ಅಕ್ರೋಬ್ಯಾಟ್ನಲ್ಲಿ ಮತ್ತು ಈಗಾಗಲೇ ಬಿಡುಗಡೆಯಾದ ಮೆಮೊರಿ ಪ್ರದೇಶಗಳಿಗೆ ಪ್ರವೇಶಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ವಿಂಡೋಸ್ ಕರ್ನಲ್ನಲ್ಲಿನ ದೋಷಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ($ 50 ಬಹುಮಾನ).
ಉಳಿದ ಹಕ್ಕು ಪಡೆಯದ ನಾಮನಿರ್ದೇಶನಗಳನ್ನು ಕ್ರೋಮ್, ಫೈರ್ಫಾಕ್ಸ್, ಎಡ್ಜ್, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಹೈಪರ್-ವಿ ಕ್ಲೈಂಟ್, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಫೀಸ್ ಮತ್ತು ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ ಆರ್ಡಿಪಿ ಹ್ಯಾಕಿಂಗ್ ಮಾಡಲು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ.
ವಿಎಂವೇರ್ ವರ್ಕ್ಸ್ಟೇಷನ್ ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡಲು ಸಹ ಪ್ರಯತ್ನಿಸಲಾಯಿತು, ಆದರೆ ಪ್ರಯತ್ನವು ವಿಫಲವಾಯಿತು. ಕಳೆದ ವರ್ಷದಂತೆ, ಹೆಚ್ಚಿನ ಮುಕ್ತ ಯೋಜನೆಗಳ ಹ್ಯಾಕಿಂಗ್ (ಎನ್ಜಿನ್ಎಕ್ಸ್, ಓಪನ್ ಎಸ್ಎಸ್ಎಲ್, ಅಪಾಚೆ httpd) ಪ್ರಶಸ್ತಿ ವಿಭಾಗಗಳಿಗೆ ಪ್ರವೇಶಿಸಿಲ್ಲ.
ಪ್ರತ್ಯೇಕವಾಗಿ, ಟೆಸ್ಲಾ ಕಾರು ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಹ್ಯಾಕಿಂಗ್ ಮಾಡುವ ಸಮಸ್ಯೆಯನ್ನು ನಾವು ನೋಡಬಹುದು.
ಸ್ಪರ್ಧೆಯಲ್ಲಿ ಟೆಸ್ಲಾ ಅವರನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವ ಯಾವುದೇ ಪ್ರಯತ್ನಗಳು ನಡೆದಿಲ್ಲ.a, ಗರಿಷ್ಠ premium 700 ಸಾವಿರ ಪ್ರೀಮಿಯಂ ಹೊರತಾಗಿಯೂ, ಆದರೆ DoS ದುರ್ಬಲತೆ ಪತ್ತೆ ಬಗ್ಗೆ ಪ್ರತ್ಯೇಕ ಮಾಹಿತಿ ಇತ್ತು (ಸಿವಿಇ -2020-10558), ಇದು ಅಂತರ್ನಿರ್ಮಿತ ಬ್ರೌಸರ್ ಆಟೊಪೈಲಟ್ ಅಧಿಸೂಚನೆಗಳಲ್ಲಿ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಪುಟವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಮತ್ತು ಸ್ಪೀಡೋಮೀಟರ್, ನ್ಯಾವಿಗೇಟರ್, ಹವಾನಿಯಂತ್ರಣ, ಸಂಚರಣೆ ವ್ಯವಸ್ಥೆ ಮುಂತಾದ ಘಟಕಗಳ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಅಡ್ಡಿಪಡಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.