Hackercontest Pwn2Own 2019: вы должны знать эти 19 дыр в безопасности!
С 2007 года это, пожалуй, самое нервное соревнование, которое вы можете себе представить. Pwn2Own — это игровая площадка для ИТ-профессионалов, которые стремятся к соревнованиям и крупным призовым фондам. В этом году конкурс в Ванкувере уже завершился и дал глубокое понимание. Уязвимы не только Safari, Windows и Firefox. Вы будете удивлены, где таятся опасности!
К счастью, они просто хотят поиграть
То, что в этом году обнаружил счастливый взлом, — это беспроигрышная ситуация для всех участников. Конкурс на самый умный взлом проходит в рамках конференции по безопасности CanSwecWest. Программистам предлагается найти все лазейки и обмануть системы безопасности различных браузеров, операционных систем и программ с помощью каждого трюка, описанного в книге. Не каждый пробел в безопасности сразу бросается в глаза непрофессионалам, но участники — профессионалы, и их успехи также открывают глаза их коллегам в этой области. Соревнование дает участникам шанс дать волю своему игровому инстинкту. Вместо ваших данных они получают денежные призы, а в лучшем случае вы можете быстро защитить свою конфиденциальность.
Ты водишь тесла Вы пользуетесь сафари? Или Oracle?
Вероятность того, что вы будете водить Tesla, относительно невелика. Используя Model 3, исследователи Ричард Чжу и Амат Кама обнаружили способ выполнения вредоносного кода в прошивке. Они отправились домой с благодарностью в 35 тысяч долларов и скритиковали на финале лица. До этого они вдвоем не упустили сравнительно небольшие карманные деньги в 55 долларов, перехитрив Safari. Код даже выполнялся вне песочницы браузера! Между тем дуэт произвел сенсацию не менее впечатляющим переворотом. Вы запустили калькулятор в бесплатном Oracle Virtual Box без авторизации. Еще 35000 долларов!
Кама и Чжу взломаны как на конвейере
Если вы уже вздохнули с облегчением, потому что вы не водите Tesla, не используете Safari или Oracle, мы все равно должны упомянуть: мы почти забыли Mozilla Firefox. Эта акция принесла исследовательской группе 50 000 долларов. Невероятно, что они для этого сделали. Им действительно удалось полностью обойти систему и управлять ею удаленно. Для этого они использовали ошибку памяти Windows и ошибку JIT. Они были столь же умны и с Microsoft Edge. Они подготовили веб-сайт на Vmware Workstation и комфортно запустили свой собственный код на хосте. 130 000 долларов были заслужены.
Mozilla Firefox и Microsoft Edge подверглись серьезным атакам
Немецкий исследователь безопасности также был в Ванкувере и получил 40 000 долларов под именем Phoenhex. Он тоже, настоящее имя которого Никлас Баумстарк, взял Mozilla Sandbox и без лишних слов взломал ее. Артур Геркис снова повредил Edge Sandbox и теперь владеет 50 000 долларов. Всего было продемонстрировано 19 целей, и хакерам было роздано 545 000 долларов. Небольшой совет, если вы используете Firefox: обновление безопасности до 66.0.1 было выпущено в кратчайшие сроки, которое вы не должны пропустить.
Те: ZDNET.de; Фото: pixabay.com