Pwn2Own एक हॅकिंग स्पर्धा आहे 2007 मध्ये सुरू होणार्या CanSecWest सुरक्षा परिषदेत दरवर्षी आयोजित. सॉफ्टवेअर आणि मोबाइल डिव्हाइस शोषण करण्याचे आव्हान सहभागींना आहे आतापर्यंत अज्ञात असुरक्षा सह व्यापकपणे वापरले जाते.
स्पर्धा विजेत्यांना त्यांचे शोषण केलेले डिव्हाइस, रोख पारितोषिक आणि "मास्टर्स" प्राप्त होतातत्याच्या विजयाचे वर्ष साजरे करतो. "Pwn2Own" हे नाव "स्वतःचे" बनविण्यासाठी किंवा ते जिंकण्यासाठी "pwn" किंवा डिव्हाइस हॅक करणे आवश्यक आहे या वस्तुस्थितीवरून आले आहे.
स्पर्धा Pwn2Own मोठ्या प्रमाणात वापरले जाणारे डिव्हाइस आणि सॉफ्टवेअरची असुरक्षा दर्शविण्यासाठी वापरली जाते आणि हे मागील वर्षापासून सुरक्षा क्षेत्रात झालेल्या प्रगतीची तपासणी देखील करते.
Pwn2Own 2020 बद्दल
या वर्षात Pwn2Own 2020 च्या या नवीन आवृत्तीत स्पर्धा अक्षरशः घेण्यात आल्या आणि हल्ले ऑनलाइन दर्शविले गेले, कॉर्नोनव्हायरस (कोविड -१)) च्या प्रसारामुळे निर्माण झालेल्या समस्यांमुळे, तुमच्या आयोजकांची ही पहिलीच वेळ आहे झिरो डे इनिशिएटिव्ह (झेडडीआय), कार्यक्रम आयोजित करण्याचा निर्णय घेतला आहे सहभागींना प्रात्यक्षिक करण्याची परवानगी दूरस्थपणे त्याचे शोषण.
स्पर्धे दरम्यान असुरक्षा शोषण करण्यासाठी विविध कार्य तंत्र सादर केले गेले पूर्वी अज्ञात उबंटू डेस्कटॉप मध्ये (लिनक्स कर्नल), विंडोज, मॅकोस, सफारी, व्हर्च्युअलबॉक्स आणि अॅडोब रीडर.
देयके एकूण रक्कम 270 हजार डॉलर्स (एकूण बक्षीस पूल अमेरिकन डॉलर्सपेक्षा जास्त होता)
सारांश, स्पर्धेच्या दोन दिवसांचे निकाल कॅनसेकवेस्ट परिषदेत दरवर्षी आयोजित Pwn2Own 2020 खालीलप्रमाणे आहेत:
-
- Pwn2Own 2020 च्या पहिल्या दिवसादरम्यान जॉर्जिया सॉफ्टवेअर अँड सिक्युरिटी लॅबची टीम टेक प्रणाल्या (@SSLab_Gatech) मॅकोस कर्नल स्तरीय विशेषाधिकार वाढीसह सफारी खाच आणि मूळ विशेषाधिकारांसह कॅल्क्युलेटर प्रारंभ करा. हल्ल्याच्या साखळीत सहा असुरक्षितता आल्या आणि कार्यसंघाला $ 70,000 मिळविण्यास परवानगी मिळाली.
- कार्यक्रमादरम्यान "रेड रॉकेट" मधील मॅनफ्रेड पॉल उबंटू डेस्कटॉपमध्ये स्थानिक विशेषाधिकार वाढविण्याचे प्रभारी होते. इनपुट व्हॅल्यूजच्या चुकीच्या सत्यापनाशी संबंधित लिनक्स कर्नलमधील असुरक्षाच्या शोषणाद्वारे. यामुळे त्याला ,30 XNUMX चे बक्षीस मिळाले.
- तांबियन व्हर्च्युअलबॉक्समध्ये अतिथी वातावरण सोडणे आणि हायपरवाइझरच्या अधिकारांसह कोड कार्यान्वित करणे हे निदर्शनास आले होतेदोन असुरक्षांचे शोषण करुन: वाटप केलेल्या बफरच्या बाहेरील भागाचा डेटा वाचण्याची क्षमता आणि निर्विवाद व्हेरिएबल्ससह कार्य करताना त्रुटी, हा दोष सिद्ध करण्यासाठी for 40 चे बक्षीस होते. स्पर्धेच्या बाहेर, झिरो डे इनिशिएटिव्हच्या प्रतिनिधींनी आणखी एक व्हर्च्युअलबॉक्स युक्ती दर्शविली, जी अतिथी वातावरणात कुशलतेने होस्ट सिस्टममध्ये प्रवेश करण्यास परवानगी देते.
- ची दोन प्रात्यक्षिके असुरक्षा शोषण करून विंडोजमध्ये स्थानिक विशेषाधिकार वाढ आधीच मोकळ्या झालेल्या मेमरी क्षेत्रात प्रवेश करण्यासाठी, या प्रत्येकाला 40 हजार डॉलर्सची दोन बक्षिसे दिली गेली.
- पीडीएफ दस्तऐवज उघडताना विंडोजमध्ये प्रशासक प्रवेश मिळवा अॅडोब रीडर मध्ये खास डिझाइन केलेले. या हल्ल्यात अॅक्रोबॅट आणि आधीपासून मोकळे केलेल्या मेमरी भागात प्रवेशाशी संबंधित विंडोज कर्नलमध्ये असुरक्षा समाविष्ट आहेत ($ 50 बक्षीस).
उर्वरित हक्क सांगितलेले नामांकन क्रोम, फायरफॉक्स, एज, मायक्रोसॉफ्ट हायपर-व्ही क्लायंट, मायक्रोसॉफ्ट ऑफिस आणि मायक्रोसॉफ्ट विंडोज आरडीपी हॅकिंगसाठी संदर्भित केले गेले.
व्हीएमवेअर वर्कस्टेशन हॅक करण्याचा प्रयत्न देखील केला गेला होता, परंतु प्रयत्न अयशस्वी झाला. मागील वर्षाप्रमाणे, बहुतेक खुल्या प्रकल्पांच्या हॅकिंगने (एनजीएनएक्स, ओपनएसएसएल, अपाचे एचपीडी) पुरस्कार श्रेणींमध्ये प्रवेश केला नाही.
स्वतंत्रपणे, आम्ही टेस्ला कार माहिती प्रणाली हॅकिंगच्या समस्येकडे पाहू शकतो.
स्पर्धेत टेस्ला हॅक करण्याचा प्रयत्न झाला नाही.अ, कमाल प्रीमियम $ 700 हजार असूनही, परंतु डॉस असुरक्षा शोधण्याविषयी स्वतंत्र माहिती होती (सीव्हीई -2020-10558) टेस्ला मॉडेल 3 मध्ये, जे अंगभूत ब्राउझर ऑटोपायलट नोटिफिकेशन्समध्ये खास डिझाइन केलेले पृष्ठ अक्षम करण्यास आणि स्पीडोमीटर, नेव्हिगेटर, वातानुकूलन, नॅव्हिगेशन सिस्टम इत्यादी घटकांच्या ऑपरेशनमध्ये व्यत्यय आणू देते.
स्त्रोत: https://www.thezdi.com/