Mga organizer ng inisyatiba (ZDI) Ang Pwn2Own 2020, isang kaganapan kung saan iniimbitahan ang mga kalahok na magpakita ng mga gumaganang diskarte para sa pagsasamantala sa mga dating hindi kilalang kahinaan, ay magaganap mula ika-18 hanggang ika-20 ng Marso bilang bahagi ng kumperensya ng CanSecWest sa Vancouver. Ang kabuuang prize pool para sa 2020 ay higit sa $4 milyon, hindi kasama ang bagong Tesla Model 3.
Tulad noong nakaraang taon, ang pinakamahalagang gantimpala ay inaalok para sa pag-hack ng mga sistema ng impormasyon ng Tesla Model 3. Ang pinakamataas na reward na $500,000 ay para sa paggawa ng multi-layered exploit na nagbibigay-daan sa pagpapatupad ng code sa maraming subsystem ng sasakyan (paunang penetration sa pamamagitan ng Wi-Fi, Bluetooth, o ang tuner, na sinusundan ng pagsasamantala sa isang kahinaan sa subsystem ng infotainment at pagkakaroon ng patuloy na access sa VCSEC, gateway, o Autopilot). Ang mga karagdagang reward ay inaalok din para sa root access sa infotainment subsystem ($50000), kontrol sa CAN Bus ($100,000), at root access sa Autopilot environment ($50,000), na tumataas ang maximum na payout sa $700,000.
Ang mga gantimpala na $250,000, $300,000, at $400,000 ay inaalok para sa paglikha ng pagsasamantala na lumalampas sa proteksyon ng dalawang subsystem. Mayroon ding walong premyo na mula $35,000 hanggang $200,000 para sa pagkakaroon ng kontrol sa CAN bus, pag-iwang aktibo sa malware pagkatapos ng pag-reboot, at pag-atake sa modem, tuner, Wi-Fi, Bluetooth, infotainment system, Autopilot, at ang pag-andar ng key ng smartphone. Ang kabuuang premyo para sa mga kategoryang nauugnay sa Tesla ay $2,490,000.
Ang iba pang mga nominasyon para sa Pwn2Own 2020 ay kinabibilangan ng:
- Pag-hack ng mga browser ng Chrome, Firefox, Safari at Microsoft Edge (parehong EDGEHTML-based at Chromium-based);
- Pag-hack ng mga virtualization system na Oracle VirtualBox, VMware Workstation, at Microsoft Hyper-V Client;
- Pag-hack ng Microsoft Office at Adobe Reader;
- Pag-hack sa Microsoft Windows RDP;
- Paglikha ng isang exploit para sa local privilege escalation sa Ubuntu и Windows.
Gaya noong nakaraang taon, ang mga kernel hack ay hindi kasama sa mga nominasyon para sa premyo. Linux at karamihan sa mga open source na proyekto (nginx, OpenSSL, Apache httpd), na ang pag-hack noong mga nakaraang taon ay limitado sa pagpapakita ng 0-day na kahinaan sa kernel noong 2017 Linux, na nagpapahintulot sa isang lokal na gumagamit na itaas ang kanilang mga pribilehiyo sa sistema. Gayunpaman, ang nominasyon para sa lokal na pagpapataas ng pribilehiyo ay ibinalik na sa Ubuntu.
Pinagmulan: opennet.ru
