Նախաձեռնության կազմակերպիչներ (ԶԴԻ) Pwn2Own 2020, միջոցառում, որտեղ մասնակիցներին հրավիրվում են ցուցադրելու նախկինում անհայտ խոցելիությունների շահագործման աշխատանքային տեխնիկան: Միջոցառումը տեղի կունենա մարտի 18-ից 20-ը՝ Վանկուվերում կայանալիք CanSecWest համաժողովի շրջանակներում: 2020 թվականի ընդհանուր մրցանակային ֆոնդը կկազմի ավելի քան 4 միլիոն դոլար, չհաշված նոր Tesla Model 3-ը որպես մրցանակ:
Ինչպես նախորդ տարի, ամենանշանակալի պարգևատրումները տրամադրվում են Tesla Model 3 տեղեկատվական համակարգերը կոտրելու համար: Ամենաբարձր՝ 500 դոլար պարգևատրումը տրամադրվում է բազմաշերտ շահագործում ստեղծելու համար, որը թույլ է տալիս միաժամանակ իրականացնել կոդի կատարում մի քանի մեքենայի ենթահամակարգերում (սկզբնական ներթափանցում Wi-Fi-ի, Bluetooth-ի կամ tuner-ի միջոցով, որին հաջորդում է ինֆոզվարճանքային ենթահամակարգում խոցելիության շահագործումը և VCSEC-ին, դարպասին կամ ավտոպիլոտին մշտական մուտքի ստացումը): Բացի այդ, լրացուցիչ մրցանակներ են տրամադրվում ինֆոզվարճանքային ենթահամակարգին root մուտքի համար (50000 դոլար), CAN Bus-ի կառավարման համար (100 դոլար) և ավտոպիլոտի միջավայրին root մուտքի համար (000 դոլար), ինչը առավելագույն վճարումը մեծացնում է մինչև 50 դոլար:
Երկու ենթահամակարգերի պաշտպանությունը շրջանցող շահագործման համար շնորհվել են 250, 300 և 400 դոլարի պարգևատրումներ: Կան նաև ութ մրցանակներ՝ 8-ից մինչև 35 դոլարի սահմաններում՝ CAN Bus-ի վերահսկողությունը ստանձնելու, վերագործարկումից հետո վնասակար ծրագիրը ակտիվ թողնելու և մոդեմը, լարողը, Wi-Fi-ը, Bluetooth-ը, ինֆոզվարճանքային համակարգը, ավտոպիլոտը և սմարթֆոնը որպես բանալի գործառույթը հարձակվելու համար: Tesla-ի հետ կապված կատեգորիաների ընդհանուր մրցանակային ֆոնդը կազմում է 200 դոլար:
Pwn2Own 2020-ի այլ անվանակարգերում են՝
- Chrome, Firefox, Safari և Microsoft Edge բրաուզերների (ինչպես EDGE, HTML, այնպես էլ Chromium-ի վրա հիմնված) հաքերային հարձակում։
- Oracle VirtualBox, VMware Workstation և Microsoft Hyper-V Client վիրտուալիզացիայի համակարգերի կոտրում։
- Microsoft Office-ի և Adobe Reader-ի կոտրում;
- Microsoft-ի հաքերային հարձակումը Windows ՀԴՊ;
- Տեղական արտոնությունների էսկալացիայի համար շահագործման ստեղծում Ubuntu и Windows.
Ինչպես նախորդ տարի, kernel hack-երը չեն ընդգրկվել մրցանակային անվանակարգերում։ Linux և բաց կոդով նախագծերի մեծ մասը (nginx, OpenSSL, Apache httpd), որոնց հաքերային հարձակումները նախորդ տարիներին սահմանափակվում էին միջուկում 0-օրյա խոցելիության ցուցադրմամբ 2017 թվականին Linux, որը թույլ է տալիս տեղական օգտատիրոջը բարձրացնել իր արտոնությունները համակարգում: Այնուամենայնիվ, տեղական արտոնությունների բարձրացման անվանակարգը վերադարձվել է Ubuntu.
Source: opennet.ru
