Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Pwn2Own
Дата18–20 апреля 2007 г. ( 18 апреля 2007 г.  - 20 апреля 2007 г. )
ВремяДважды в год
Продолжительность2-3 дня
Место проведенияКонференция по безопасности CanSecWest
Место расположенияРазные
ТипКонкурс взлома
Покровитель (ы)Инициатива нулевого дня
ОрганизованныйКонференция по прикладной безопасности CanSecWest
НаградыДенежные призы
Интернет сайтКонференция по прикладной безопасности CanSecWest

Pwn2Own - это соревнование по взлому компьютеров, которое ежегодно проводится на конференции по безопасности CanSecWest . [1] Впервые конкурс проводился в апреле 2007 года в Ванкувере [2] , теперь конкурс проводится два раза в год, [3] последний раз в ноябре 2019 года. [4] [3] Конкурсантам предлагается использовать широко используемое программное обеспечение [5] и мобильные устройства с ранее неизвестными уязвимостями . [6] Победители конкурса получают устройство, которое они использовали, и денежный приз. [4] Конкурс Pwn2Own служит для демонстрации уязвимости устройств и программного обеспечения, которые широко используются, а также предоставляет контрольную точку для прогресса, достигнутого в области безопасности с прошлого года.

История [ править ]

Истоки [ править ]

Первый конкурс в 2007 году [1] был задуман и разработана Драгош Ruiu в ответ на его разочарование в связи с Apple Inc. отсутствием «s ответа [7] к Месяцу компании Apple Bugs и Месяцем ядро Ошибок , [8] , а также как телевизионные рекламные ролики Apple, упрощающие безопасность, встроенную в конкурирующую операционную систему Windows . [9] В то время было широко распространено мнение, что, несмотря на публичные демонстрации уязвимостей в продуктах Apple, OS X была значительно более безопасной, чем любые другие конкуренты. [7]20 марта, примерно за три недели до CanSecWest в том же году, Руйу объявил конкурс Pwn2Own исследователям безопасности в списке рассылки DailyDave. [1] Конкурс должен был включать два MacBook Pro, которые он оставил в конференц-зале, подключенными к их собственной точке беспроводного доступа . Любой участник конференции, который может подключиться к этой беспроводной точке доступа и использовать одно из устройств, сможет покинуть конференцию с этим портативным компьютером. Денежного вознаграждения не было. [7] Название «Pwn2Own» было получено из того , что участники должны « СОБСТВЕННЫЕ » или взломать устройство для того , чтобы «собственного» или выиграть его.

В первый день конференции в Ванкувере, Британская Колумбия , Руйу попросил Терри Форслоф из Zero Day Initiative (ZDI) принять участие в конкурсе. [5] У ZDI есть программа, которая покупает атаки нулевого дня , сообщает о них пострадавшему поставщику и превращает их в сигнатуры для своей собственной системы обнаружения вторжений в сеть, повышая ее эффективность. Уязвимости, продаваемые ZDI, становятся общедоступными только после того, как затронутый поставщик выпустит исправление для них. [10] Форслоф согласился, чтобы ZDI предложила выкупить любые уязвимости, использованные в конкурсе, по фиксированной цене в 10 000 долларов. [5] Впоследствии первый конкурс представил громкий QuicktimeОшибка, о которой Apple сообщила 23 апреля и исправила в начале мая. [5] В 2008 году масштаб конкурса Pwn2Own был расширен. [11] В число целей входили три портативных компьютера с установленной по умолчанию Windows Vista , OS X или Ubuntu Linux . [12] Мобильные устройства были добавлены в 2009 году. [6]

В 2012 году правила были изменены на соревнование в стиле «захват флага» с балльной системой [13]. Ат и Chrome впервые успешно эксплуатировались постоянным конкурентом VUPEN . [14] После отказа от участия в конкурсе в том же году из-за новых правил раскрытия информации [15] в 2013 году Google вернулся в качестве спонсора, и правила были изменены, чтобы требовать полного раскрытия информации об используемых эксплойтах и ​​методах. [16] Google перестала спонсировать Pwn2Own в 2015 году. [17]

Последние годы [ править ]

В 2015 году все протестированные веб-браузеры были успешно взломаны, и каждый приз на общую сумму 557 500 долларов был выигран. Другие призы, такие как ноутбуки, также были вручены победившим исследователям. [18] В 2018 году конференция была намного меньше и спонсировалась в основном Microsoft после того, как Китай запретил своим исследователям безопасности участвовать в конкурсе. [19]

Pwn2Own продолжает спонсироваться Trend Micro в рамках инициативы Zero Day Initiative, при этом ZDI сообщает об уязвимостях поставщикам, прежде чем обнародовать информацию о взломах. [3] «Один из крупнейших хакерских конкурсов в мире», согласно TechCrunch , [20] по состоянию на 2019 год конкурс продолжает проводиться несколько раз в год. [4] Pwn2Own Tokyo проходил с 6 по 7 ноября в Токио, Япония , и ожидался розыгрыш 750 000 долларов наличными и призами. [20] Хаки сосредоточены на браузерах, виртуальных машинах, компьютерах и телефонах. [3] В 2019 году в конкурс впервые были добавлены автомобили: за взлом с использованием программного обеспечения Tesla было предложено 900 000 долларов .[3] В 2019 году в конкурс добавлены АСУ ТП. [21]

Система наград [ править ]

Победители конкурса получают устройство, которое они использовали, и денежный приз. [4] Победители также получают куртки Masters в честь года их победы.

Список успешных эксплойтов [ править ]

Этот список заметных хаков неполон.

Хакер (ы)ПринадлежностьГодИспользовать цельВерсия / ОСИсточник
Дино Дай ЗовиНезависимый2007 г.Quicktime ( Safari )Mac OS X[22] [23]
Шейн МакаулиНезависимый2007 г.Quicktime (Safari)Mac OS X[23] [22]
Чарли МиллерISE2008 г.Safari ( PCRE )Mac OS X 10.5.2.[24] [25]
Джейк ОноффISE2008 г.Safari (PCRE)Mac OS X 10.5.2[24]
Марк ДэниелISE2008 г.Safari (PCRE)Mac OS X 10.5.2[24]
Шейн МакаулиНезависимый2008 г.Adobe Flash ( Internet Explorer )Пакет обновления 1 для Windows Vista[26]
Александр СотировНезависимый2008 г.Adobe Flash (Internet Explorer)Пакет обновления 1 для Windows Vista[26]
Дерек КаллавейНезависимый2008 г.Adobe Flash (Internet Explorer)Пакет обновления 1 для Windows Vista[26]
Чарли МиллерISE2009 г.СафариMac OS X[27] [25]
НильсНезависимый2009 г.Internet Explorer 8Бета-версия Windows 7[28]
НильсНезависимый2009 г.СафариMac OS X[29]
НильсНезависимый2009 г.Mozilla Firefox[30]
Чарли МиллерISE2010 г.СафариMac OS X[31]
Питер ВройгденхилНезависимый2010 г.Internet Explorer 8Windows 7[31]
НильсНезависимый2010 г.Mozilla Firefox 3.6Windows 7 (64-битная)[31]
Ральф-Филипп ВайнманнНезависимый2010 г.iPhone 3GSiOS[31]
Винченцо ИоццоНезависимый2010 г.iPhone 3GSiOS[31]
ВУПЕНВУПЕН2011 г.Safari 5.0.3Mac OS X 10 .6.6[32]
Стивен ФьюерГармония Безопасность2011 г.Internet Explorer 8 (32-разрядный)Windows 7 с пакетом обновления 1 (64-разрядная версия )[32]
Чарли МиллерISE2011 г.Ай фон 4iOS 4.2 .1[33]
Дион БлазакисISE2011 г.Ай фон 4iOS 4.2.1[33]
Виллем ПинкаерсНезависимый2011 г.BlackBerry Torch 9800BlackBerry OS 6 .0.0.246[33]
Винченцо ИоццоНезависимый2011 г.Blackberry Torch 9800ОС BlackBerry 6.0.0.246[33]
Ральф-Филипп ВайнманнНезависимый2011 г.Blackberry Torch 9800ОС BlackBerry 6.0.0.246[33]
ВУПЕНВУПЕН2012 г.ХромWindows 7 с пакетом обновления 1 (64-разрядная версия )[14]
ВУПЕНВУПЕН2012 г.Internet Explorer 9Windows 7[34]
Виллем ПинкаерсНезависимый2012 г.Mozilla Firefox[35]
Винченцо ИоццоНезависимый2012 г.Mozilla Firefox[35]
ВУПЕНВУПЕН2013Internet Explorer 10Windows 8[36]
ВУПЕНВУПЕН2013Adobe FlashWindows 8[37]
ВУПЕНВУПЕН2013Oracle JavaWindows 8[37]
НильсMWR Labs2013ХромWindows 8
ДжонMWR Labs2013ХромWindows 8
Джордж ХотцНезависимый2013Adobe ReaderWindows 8
Джошуа ДрейкНезависимый2013Oracle JavaWindows 8
Джеймс ФоршоуНезависимый2013Oracle JavaWindows 8
Бен МерфиНезависимый2013Oracle JavaWindows 8
Пинки ПайНезависимый2013 (мобильный)ХромAndroid[38]
Нико ДжолиВУПЕН2014 (мобильный)Windows Phone ( Internet Explorer 11 )Windows 8.1
ВУПЕНВУПЕН2014 г.Internet Explorer 11Windows 8.1
ВУПЕНВУПЕН2014 г.Adobe Reader XIWindows 8.1
ВУПЕНВУПЕН2014 г.ХромWindows 8.1
ВУПЕНВУПЕН2014 г.Adobe FlashWindows 8.1
ВУПЕНВУПЕН2014 г.Mozilla FirefoxWindows 8.1
Лян Чен, Цзегуан ЧжаоУвлеченная команда, команда 5092014 г.Adobe FlashWindows 8.1
Себастьян Апельт, Андреас ШмидтНезависимый2014 г.Internet Explorer 11Windows 8.1
Юри АэдлаНезависимый2014 г.Mozilla FirefoxWindows 8.1
Мариуш МлынскиНезависимый2014 г.Mozilla FirefoxWindows 8.1
Джордж ХотцНезависимый2014 г.Mozilla FirefoxWindows 8.1
Лян Чен, Цзегуан ЧжаоУвлеченная команда, команда 5092014 г.OS X Mavericks и Safari
Чон Хун Ли, он же ЛокихардтНезависимый2015 г.Internet Explorer 11, Google Chrome и Safari[18]
Нико Голде, Даниэль КомаромиНезависимый2015 (мобильный)Samsung Galaxy S6 BasebandAndroid
Гуан ГунQihoo 3602015 (мобильный)Nexus 6 ChromeAndroid
2016 г.
2017 г.iPhone 7, другиеiOS 11.1
2018 г.
ФторацетатНезависимый2019 (мобильный)Амазонка Эхо Шоу 5[39]
Педро Рибейро, Радек ДоманскиВоспоминания2019 (мобильный)Умный WiFi-маршрутизатор NETGEAR Nighthawk (LAN и WAN)v3 (оборудование)[40]
Педро Рибейро, Радек ДоманскиВоспоминания2019 (мобильный)Интеллектуальный WiFi-маршрутизатор TP-Link AC1750 (LAN и WAN)v5 (оборудование)[41]
Марк Барнс, Тоби Дрю, Макс Ван Амеронген и Джеймс ЛоурейроF-Secure Labs2019 (мобильный)Xiaomi Mi9 (веб-браузер и NFC)Android[40]
Марк Барнс, Тоби Дрю, Макс Ван Амеронген и Джеймс ЛоурейроF-Secure Labs2019 (мобильный)Интеллектуальный WiFi-маршрутизатор TP-Link AC1750 (LAN и WAN)v5 (оборудование)[41]

Ежегодные конкурсы [ править ]

2007 [ править ]

Конкурс проходил с четверга 18 апреля по субботу 20 апреля 2007 года в Ванкувере. [2] Первый конкурс был призван подчеркнуть небезопасность операционной системы Apple Mac OS X, поскольку в то время существовало широко распространенное мнение, что OS X намного безопаснее, чем ее конкуренты. [7] Что касается правил, только два ноутбука MacBook Pro, один 13 "и один 15", были оставлены в конференц-зале CanSecWest и подключены к отдельной беспроводной сети. Были разрешены только определенные атаки, и эти ограничения постепенно снимались в течение трех дней конференции. [7] В день 1 разрешены только удаленные атаки, в день 2 включены атаки через браузер, а в день 3 разрешены локальные атаки, при которых участники могут подключаться через USB.флешку или Bluetooth . Чтобы выиграть 15-дюймовый MacBook Pro, участники должны будут дополнительно повысить свои привилегии до root после получения доступа с их первоначальным эксплойтом.

Ноутбуки не взламывались в первый день. После того, как ZDI объявил приз в размере 10 000 долларов, Шейн Маколей позвонил бывшему коллеге Дино Дай Зови в Нью-Йорке и призвал его принять участие в соревнованиях во второй день. [2] За одну ночь Дай Зови обнаружил и использовал ранее неизвестную уязвимость в библиотеке QuickTime, загруженной Safari. [22] На следующее утро Дай Зови отправил свой код эксплойта Маколею [42], который разместил его на веб-сайте и отправил организаторам конкурса ссылку на него по электронной почте. При щелчке по ссылке Маколи мог управлять ноутбуком, а Дай Зови выигрывал в конкурсе по доверенности, который подарил Маколею 15-дюймовый MacBook Pro. [43]Дай Зови отдельно продал уязвимость ZDI за приз в размере 10 000 долларов. [23]

2008 [ править ]

Pwn2Own 2008 проходил с четверга, 26 марта, по субботу, 28 марта 2008 года. [12] После успешного конкурса 2007 года его масштаб расширился, включив в него более широкий спектр операционных систем и браузеров. Конкурс продемонстрирует повсеместную незащищенность всего программного обеспечения, широко используемого потребителями. [11] Драгос усовершенствовал конкурс с помощью широкой группы отраслевых экспертов, и конкурс проводился ZDI, который снова предлагал купить уязвимости после их демонстрации. [12] Как и в случае со всеми уязвимостями, которые покупает ZDI, подробные сведения об уязвимостях, использованных в Pwn2Own, будут предоставлены пострадавшим поставщикам, а общедоступные сведения не будут разглашаться до тех пор, пока не станет доступен патч .[10] Все участники, успешно продемонстрировавшие эксплойты на конкурсе, могли продать свои уязвимости ZDI за призы в размере 20 000 долларов в первый день, 10 000 долларов во второй день и 5 000 долларов в третий день. [11] Как и в предыдущем году, в каждый день разрешались только определенные атаки. В число целей входили три ноутбука с установленной по умолчанию Windows Vista Ultimate SP1 , Mac OS X 10.5.2 или Ubuntu Linux 7.10 . [12] В день 1 наблюдались только удаленные атаки; участники должны были присоединиться к той же сети, что и целевой портативный компьютер, и выполнить атаку без взаимодействия с пользователем и без аутентификации. На второй день был браузер и обмен мгновенными сообщениями.Включены атаки, а также атаки вредоносных веб-сайтов со ссылками, отправленными организаторам для перехода. [11] На третий день были включены сторонние клиентские приложения. Конкурсанты могли ориентироваться на популярное стороннее программное обеспечение [11], такое как браузеры, Adobe Flash , Java , Apple Mail , iChat , Skype , AOL и Microsoft Silverlight . [12]

Что касается результата, ноутбук работает OS X была использована на второй день конкурса с эксплойт для Safari браузер в соавторстве с Чарли Миллер , [25] Джейк Honoroff и Марк Даниэль из Independent Security Оценщиков. Их эксплойт был нацелен на подкомпонент браузера Safari с открытым исходным кодом. [24] [44] Ноутбук под управлением Windows Vista SP1 был использован на третий день конкурса с помощью эксплойта для Adobe Flash, написанного в соавторстве с Шейном Маколеем, Александром Сотировым и Дереком Каллэуэем. [26] [45] После конкурса Adobe сообщила, что они совместно обнаружили ту же уязвимость внутри компании и работали над патчем во время Pwn2Own.[46] Ноутбук с Ubuntu не эксплуатировался.

2009 [ править ]

Pwn2Own 2009 проходил в течение трех дней CanSecWest с четверга, 18 марта, по субботу, 20 марта 2009 года. После достижения в 2007 году гораздо большего успеха в отношении веб-браузеров, чем любая другая категория программного обеспечения, третий Pwn2Own сосредоточился на популярных браузерах, используемых потребителями. настольные операционные системы. Он добавил еще одну категорию мобильных устройств, которые участники должны были взломать с помощью множества векторов удаленных атак, включая электронную почту, SMS-сообщения и просмотр веб-сайтов. [6] [47] Всем участникам, продемонстрировавшим успешные эксплойты на конкурсе, ZDI предложила награды за лежащие в основе уязвимости, 5 000 долларов за эксплойты браузера и 10 000 долларов за мобильные эксплойты. [48]

Что касается правил веб-браузера, целевыми браузерами были Internet Explorer 8 , Firefox и Chrome, установленные на Sony Vaio с бета- версией Windows 7, а также Safari и Firefox, установленные на MacBook с Mac OS X. Все браузеры были полностью пропатчены и изначально имели конфигурации по умолчанию. день конкурса. Как и в предыдущие годы, соревнования по поверхности атаки расширились на три дня. [48] В первый день участники должны были задействовать функциональность в браузере по умолчанию без доступа к каким-либо плагинам. На второй день были включены Adobe Flash, Java, Microsoft .NET Framework и QuickTime. На третий день были включены другие популярные сторонние плагины, напримерAdobe Reader . Допускалось несколько победителей на каждую цель, но только тот участник, который первым использовал каждый ноутбук, получал ее. Целевые мобильные устройства включали телефоны BlackBerry , Android , Apple iPhone 2.0 ( T-Mobile G1 ), Symbian (Nokia N95 ) и Windows Mobile ( HTC Touch ) в их конфигурациях по умолчанию.

Как и в случае с конкурсом браузеров, поверхность атаки, доступная участникам, увеличилась за три дня. Чтобы доказать, что они смогли успешно взломать устройство, участники должны были продемонстрировать, что они могут собирать конфиденциальные данные с мобильного устройства или понести какие-либо финансовые убытки от владельца мобильного устройства. [48]В первый день устройство могло получать SMS, MMS и электронную почту, но сообщения читать не удавалось. Wi-Fi (если он включен по умолчанию), Bluetooth (если включен по умолчанию) и радиостек также были включены. На второй день можно было открывать и читать SMS, MMS и электронную почту. Был включен Wi-Fi, и можно было включить Bluetooth и выполнить сопряжение с ближайшей гарнитурой (дополнительное сопряжение запрещено). День 3 позволил одному уровню взаимодействия пользователя с приложениями по умолчанию. Допускалось несколько победителей на одно устройство, но только тот участник, который первым использовал каждое мобильное устройство, получал его (вместе с годовым контрактом на телефонную связь).

Что касается результата, исходя из возросшего интереса к соревнованиям в 2009 году, ZDI организовал случайный выбор, чтобы определить, какая команда пойдет первой по каждой цели. [48] Первым выбранным участником был Чарли Миллер . Он использовал Safari в OS X без помощи каких-либо плагинов для браузера. [27] [25] В интервью после победы в конкурсе Миллер подчеркнул, что, хотя ему потребовалось всего несколько минут, чтобы запустить эксплойт против Safari, ему потребовалось много дней, чтобы исследовать и разработать эксплойт, который он использовал. [49]Исследователь, названный только Нильсом, был выбран для преследования Миллера. Нильс успешно запустил эксплойт против Internet Explorer 8 в бета-версии Windows 7. При написании этого эксплойта Нильсу пришлось обойти меры защиты от эксплуатации, которые Microsoft реализовала в Internet Explorer 8 и Windows 7, включая защиту выполнения данных (DEP) и рандомизацию разметки адресного пространства (ASLR). [28] [50] Нильс продолжал пробовать другие браузеры. Хотя Миллер уже использовал Safari в OS X, Нильс снова использовал эту платформу [29], а затем перешел к успешной эксплуатации Firefox. [30]Ближе к концу первого дня Жюльен Тиннес и Сами Койву (удаленно) успешно использовали Firefox и Safari на OS X с уязвимостью в Java. В то время в OS X по умолчанию была включена Java, что позволяло надежно эксплуатировать эту платформу. Однако из-за того, что Тиннес уже сообщил об уязвимостях поставщику, участие Тиннеса вышло за рамки правил конкурса и не могло быть вознаграждено. [51] Следующие дни конкурса не привлекли дополнительных участников. Chrome, как и все мобильные устройства, не использовался в Pwn2Own 2009. [52]

2010 [ править ]

Соревнование стартовало 24 марта 2010 г., и его общий денежный призовой фонд составил 100 000 долларов США. [53] 15 марта, за девять дней до начала конкурса, Apple выпустила шестнадцать исправлений для WebKit и Safari. [54] Что касается программного обеспечения для использования, 40 000 долларов из 100 000 долларов были зарезервированы для веб-браузеров, где каждая цель стоит 10 000 долларов. [53] День 1 включал Microsoft Internet Explorer 8 в Windows 7 , Mozilla Firefox 3.6 в Windows 7, Google Chrome 4 в Windows 7 и Apple Safari 4 в Mac OS X Snow Leopard . День 2 включал Microsoft Internet Explorer 8 в Windows Vista, Mozilla Firefox 3 в Windows Vista, Google Chrome 4 в Windows Vista и Apple Safari 4 в Mac OS X Snow Leopard. День 3 включал Microsoft Internet Explorer 8 в Windows XP , Mozilla Firefox 3 в Windows XP, Google Chrome 4 в Windows XP и Apple Safari 4 в Mac OS X Snow Leopard. 60 000 долларов из общего денежного призового фонда в 100 000 долларов были выделены на часть конкурса, посвященную мобильным телефонам, каждая цель стоила 15 000 долларов. [53] К ним относятся Apple iPhone 3GS , RIM BlackBerry Bold 9700 , устройство Nokia E72 под управлением Symbian и HTC Nexus One под управлением Android .

Веб - браузер Opera был исключен из соревнований в качестве цели: Команда ZDI утверждала , что опера имела долю рынка и низкую , что Chrome и Safari включаются только «из - за их присутствие по умолчанию на различных мобильных платформах». Однако движок визуализации Opera, Presto , присутствует на миллионах мобильных платформ. [55] [56] [57] [58]

Среди успешных эксплойтов было то, что Чарли Миллер успешно взломал Safari 4 в Mac OS X. [31] Нильс взломал Firefox 3.6 в 64-битной Windows 7 [31] , используя уязвимость повреждения памяти и обходя ASLR и DEP, после чего Mozilla исправила безопасность Ошибка в Firefox 3.6.3. [59] Ральф-Филипп Вайнманн и Винченцо Иоццо взломали iPhone 3GS, обойдя цифровые подписи кода, используемые на iPhone, чтобы убедиться, что код в памяти принадлежит Apple. [31] Питер Вройгденхил эксплуатировал Internet Explorer 8 в Windows 7, используя две уязвимости, связанные с обходом ASLR и обходом DEP . [31]

2011 [ править ]

Конкурс 2011 года проходил с 9 по 11 марта во время конференции CanSecWest в Ванкувере. [60] Целевые веб-браузеры для конкурса 2011 года включали Microsoft Internet Explorer, Apple Safari, Mozilla Firefox и Google Chrome. Новым для конкурса Pwn2Own стал тот факт, что была разрешена новая поверхность атаки для проникновения в мобильные телефоны, в частности, через базовые полосы частот сотовых телефонов . Целевыми мобильными телефонами были Dell Venue Pro под управлением Windows Phone 7 , iPhone 4 под управлением iOS , BlackBerry Torch 9800 под управлением BlackBerry OS 6.0 и Nexus S под управлением Android.2.3. Несколько команд зарегистрировались для участия в конкурсе настольных браузеров. Для Apple Safari зарегистрированными конкурентами были VUPEN, Anon_07, Team Anon, Charlie Miller. Mozilla Firefox включал Сэма Томаса и Anonymous_1. В команды разработчиков Microsoft Internet Explorer входили Стивен Фьюер, VUPEN, Сэм Томас и Ахмед М. Слит. В команды разработчиков Google Chrome входили Моатц Хадер, Team Anon и Ахмед М. Слит. В категории мобильных браузеров зарегистрировались следующие команды. Для попытки взлома Apple iPhone в команды входили Anon_07, Дион Блазакис и Чарли Миллер, Team Anon, Anonymous_1 и Ахмед М. Слит. Чтобы взломать RIM Blackberry, командами были Anonymous_1, Team Anon и Ahmed M Sleet. Чтобы взломать Samsung Nexus S , в команды входили Джон Оберхайде, Anonymous_1, Anon_07 и Team Anonymous. Чтобы взломать Dell Venue Pro, в команды входили Джордж Хотц , Team Anonymous, Anonymous_1 и Ахмед М. Слит.

В первый день соревнований исследователи проиграли Safari и Internet Explorer. Safari была версии 5.0.3, установленной на полностью исправленной Mac OS X 10.6.6. Французская охранная компания VUPEN первой атаковала браузер. Internet Explorer был 32-битной версией 8, установленной в 64-битной Windows 7 с пакетом обновления 1. Исследователь безопасности Стивен Фьюер из Harmony Security успешно использовал IE. Это было продемонстрировано Так же, как и в Safari. [32] На второй день эксплуатировались iPhone 4 и Blackberry Torch 9800 . IPhone работал под управлением iOS 4.2.1, однако недостаток существует в версии 4.3 iOS. [33] Исследователи в области безопасности Чарли Миллери Дион Блазакис смогли получить доступ к адресной книге iPhone через уязвимость в Mobile Safari, посетив свою веб-страницу с эксплойтами. [33] Телефон Blackberry Torch 9800 работал под управлением BlackBerry OS 6.0.0.246. Команда Винченцо Иоццо, Виллема Пинкаерса и Ральфа Филиппа Вайнманна воспользовалась уязвимостью в веб-браузере Blackberry на базе WebKit, посетив заранее подготовленную веб-страницу. [33]Тестирование Firefox, Android и Windows Phone 7 было запланировано на второй день, но исследователи безопасности, выбранные для этих платформ, не пытались использовать какие-либо эксплойты. Сэм Томас был выбран для тестирования Firefox, но отказался от него, заявив, что его эксплойт нестабилен. Исследователи, выбранные для тестирования Android и Windows Phone 7, не явились. [33] На третий день не было ни одной команды. Chrome и Firefox не были взломаны.

2012 [ править ]

На 2012 год правила были изменены на соревнования в стиле захвата флага с балльной системой. [13] Новый формат привел к тому, что Чарли Миллер , успешно выступавший на мероприятии в прошлые годы, решил не участвовать, так как это требовало написания эксплойтов «на месте», что, как утверждал Миллер, было в пользу более крупных команд. [15] Хакеры выступили против четырех основных браузеров. [15]

На Pwn2Own 2012 впервые успешно эксплуатировали Chrome. VUPEN отказались раскрыть, как они сбежали из песочницы, заявив, что продадут информацию. [14] Следующим был успешно использован Internet Explorer 9 в Windows 7. [34] Firefox был третьим браузером, взломанным с использованием эксплойта нулевого дня . [35]

Safari в Mac OS X Lion был единственным браузером, оставшимся после завершения нулевого дня pwn2own. Версии Safari, которые не были полностью пропатчены и работали в Mac OS X Snow Leopard, были скомпрометированы во время CVE-части pwn2own. Значительные улучшения в средствах защиты Mac OS X были внесены в Lion. [61] [62] [ необходима ссылка ]

Споры с Google [ править ]

Google отказался от спонсорства мероприятия, потому что правила 2012 года не требовали полного раскрытия эксплойтов от победителей, в частности эксплойтов для выхода из изолированной среды и демонстрации эксплойтов, которые не «выиграли». [15] Pwn2Own поддержал это решение, заявив, что, по его мнению, хакеры не будут пытаться использовать Chrome, если их методы будут раскрыты. [15] Google организовал отдельный конкурс «Pwnium», который предлагал до 60 000 долларов за эксплойты, специфичные для Chrome. Об использованных уязвимостях, не связанных с Chrome, было гарантировано немедленно сообщать соответствующему поставщику. [15] Сергей Глазунов и подросток, идентифицированный как «PinkiePie», заработали по 60 000 долларов каждый за эксплойты, обходившие песочницу безопасности.[63][64] Google выпустил исправление для пользователей Chrome менее чем через 24 часа после демонстрации эксплойтов Pwnium. [65]

2013 [ править ]

В 2013 году Google вернулся в качестве спонсора, и правила были изменены, чтобы требовать полного раскрытия информации об используемых эксплойтах и ​​методах. [16] Конкурс Mobile Pwn2Own 2013 проходил 13–14 ноября 2013 года во время конференции PacSec 2013 в Токио. [66] Использовались веб-браузеры Google Chrome, Internet Explorer и Firefox, а также Windows 8 и Java. [67] Adobe также присоединилась к конкурсу, добавив Reader и Flash. [36] Apple Safari на Mountain Lion не стал мишенью, так как не было ни одной команды.

Французская охранная компания VUPEN успешно использовала полностью обновленный Internet Explorer 10 на Microsoft Surface Pro под управлением 64-разрядной версии Windows 8 и полностью обошла изолированную программную среду защищенного режима без сбоев и зависаний браузера. [36] Затем команда VUPEN использовала Mozilla Firefox, Adobe Flash и Oracle Java. [37] Пинки Пай выиграла 50 000 долларов, и 14 ноября Google выпустила обновления Chrome для устранения использованных уязвимостей. [38] Нильс и Джон из MWRLabs успешно использовали Google Chrome с помощью WebKit и недостатков ядра Windows для обхода песочницы Chrome и выиграли 100 000 долларов. Джордж Хотцвоспользовался Adobe Acrobat Reader и сбежал из песочницы, чтобы выиграть 70 000 долларов. Джеймс Форшоу, Джошуа Дрейк и Бен Мерфи независимо друг от друга использовали Oracle Java и выиграли по 20 000 долларов каждый.

В мобильном конкурсе участники выиграли 117 500 долларов из призового фонда в 300 000 долларов. [66]

2014 [ править ]

На Pwn2Own 2014 в марте [68] [69] была проведена конференция CanSecWest в Ванкувере, спонсором которой выступила Hewlett-Packard . [70] Все четыре целевых браузера достались исследователям [71], и в целом участники выиграли 850 000 долларов из доступного пула в 1 085 000 долларов. [72] VUPEN успешно использовал полностью обновленный Internet Explorer 11 , Adobe Reader XI , Google Chrome, Adobe Flash и Mozilla Firefox в 64-битной версии Windows 8.1 , чтобы выиграть в общей сложности 400 000 долларов - самый высокий выигрыш для одного конкурента. Дата. Всего компания использовала 11 различных уязвимостей нулевого дня. [73]

Среди других успешных эксплойтов в 2014 году Internet Explorer 11 использовался Себастьяном Апельтом и Андреасом Шмидтом за приз в размере 100 000 долларов. [70] Apple Safari в Mac OS X Mavericks и Adobe Flash в Windows 8.1 были успешно использованы Лян Ченом из Keen Team и Цзегуаном Чжао из team509. [74] Mozilla Firefox использовался трижды в первый день и еще раз во второй день, при этом HP наградила исследователей по 50 000 долларов за каждый обнаруженный недостаток Firefox в том году. [75]И Вупен, и анонимный участник использовали Google Chrome. Вупен заработал 100 000 долларов за взлом, в то время как его анонимный участник получил уменьшенный приз в размере 60 000 долларов, поскольку их атака основывалась на уязвимости, обнаруженной накануне на конкурсе Google Pwnium. [71] Кроме того, Нико Джоли из команды VUPEN взял на себя Windows Phone ( Lumia 1520 ), но не смог получить полный контроль над системой. [76] В 2014 году Keen Lab взломала Windows 8.1 Adobe Flash за 16 секунд, а систему OSX Mavericks Safari - за 20 секунд. [77]

2015–2017 [ править ]

Каждый доступный приз был разыгран в марте 2015 года в Ванкувере, и все браузеры были взломаны на общую сумму 557 500 долларов и другие призы. Лучшим хакером оказался Чон Хун Ли, который получил «IE 11, как стабильную, так и бета-версию Google Chrome, а также Apple Safari» и заработал $ 225 000 призовых. Другие взломы включали взлом Team509 и KeenTeem в Adobe Flash и другие взломы в Adobe Reader. Всего было 5 ошибок в операционной системе Windows, 4 в Internet Explorer 11, 3 в Firefox, Adobe Reader и Adobe Flash, 2 в Safari и 1 в Chrome. [78] Google прекратил спонсировать Pwn2Own в 2015 году. [17]

На конкурсе в марте 2016 года «каждая из победивших работ смогла избежать« песочницы »за счет использования уязвимостей в базовых ОС». [79] В 2016 году были взломаны Chrome, Microsoft Edge и Safari. [80] По словам Брайана Горенца, менеджера по исследованию уязвимостей в HPE , они решили не включать Firefox в том году, поскольку они «хотели сосредоточиться на браузерах, которые [внесли] серьезные улучшения в безопасности за последний год». [81] В 2016 году Qihoo360 успешно взломал Pixel менее чем за 60 секунд. [82]

В марте 2017 года в Ванкувере хакеры впервые взломали песочницу виртуальной машины VMWare. [83] В 2017 году у Chrome не было успешных взломов (хотя только одна команда пыталась нацелить Chrome), последующие браузеры, которые лучше всего показали себя, были, по порядку, Firefox, Safari и Edge. [84] Mobile Pwn2Own проводился 1 и 2 ноября 2017 года. [85] В конкурсе приняли участие представители Apple, Google и Huawei. [86] Различные смартфоны, в том числе с программным обеспечением Apple iOS 11.1, также были успешно взломаны. «11 успешных атак» были направлены против iPhone 7, Huawei Mate 9 Pro и Samsung Galaxy S8 . Google Pixel взломан не был.[85] В целом ZDI в том году выделила 833 000 долларов на обнаружение 51 ошибки нулевого дня. [87] Команда Qihoo 360 выиграла главный приз в 2017 году. [82]

2018 [ править ]

В 2018 году конференция была намного меньше и спонсировалась в первую очередь Microsoft. Китай запретил своим исследователям безопасности участвовать в конкурсе, несмотря на то, что в прошлом китайские граждане побеждали, и запретил разглашать уязвимости системы безопасности иностранцам. [19] В частности, не вошли представители Keen Labs от Tencent и 360Vulcan от Qihoo 360, как и другие граждане Китая. [87] Кубок Tianfu был впоследствии разработан , чтобы быть «китайской версии Pwn2Own», также проходит два раза в год. [88] Кроме того, незадолго до конференции 2018 года Microsoft устранила несколько уязвимостей в Edge, в результате чего многие команды отказались от участия. Тем не менее, определенные возможности были обнаружены в Edge, Safari, Firefox и других.[89] Никаких попыток взлома Chrome не предпринималось, [19] [90] хотя предлагаемая награда была такой же, как и для Edge. [91] В итоге хакерам было присуждено 267 000 долларов. [89] В то время как многие продукты Microsoft предлагали большие вознаграждения любому, кто мог получить доступ через них, успешно эксплуатировался только Edge, а также Safari и Firefox. [19]

2019 [ править ]

В марте 2019 года в Ванкувере на конференции CanSecWest прошел конкурс, в котором были представлены такие категории, как VMware ESXi , VMware Workstation , Oracle VirtualBox , Chrome, Microsoft Edge и Firefox, а также Tesla. [3] Tesla представила свой новый седан Model 3 , где пара исследователей заработала 375 000 долларов и взломала машину, обнаружив серьезную ошибку рандомизации памяти в информационно-развлекательной системе автомобиля. [20] Это был первый год, когда разрешили взлом устройств из категории домашней автоматизации . [39]

В октябре 2019 года Politico сообщило, что в следующем выпуске Pwn2Own были добавлены системы управления производством. [21] Pwn2Own Tokyo проходил с 6 по 7 ноября, и ожидалось, что на нем будут разыграны 750 000 долларов наличными и призами. Был введен портал Facebook , а также Amazon Echo Show 5 , Google Nest Hub Max, Amazon Cloud Cam и Nest Cam IQ Indoor. Также вошел комплект виртуальной реальности Oculus Quest . [20] В 2019 году команда выиграла 60 000 долларов, взломав Amazon Echo Show 5. Они сделали это, взломав «пробел в патчах», который объединял старое программное обеспечение, исправленное на других платформах, поскольку умный экран использовал старую версиюХром . [92] [4] Команда поделилась результатами с Amazon, [39] которая заявила, что расследует взлом и предпримет «соответствующие шаги». [92]

2020 [ править ]

Состоялся новый выпуск конкурса Pwn2Own [ когда? ] в Майами на конференции S4, только с категориями SCADA и HMI . [93]

Следующее издание Pwn2Own должно было пройти в марте 2020 года на CanSecWest в Ванкувере. [94] [95] [ требуется обновление ]

См. Также [ править ]

  • Конкурентное программирование
  • Белая шляпа (компьютерная безопасность)
  • DEF CON

Ссылки [ править ]

  1. ^ Б с Ruiu, Драгошу (20 марта 2007). «PWN to OWN (было Re: Как Apple организовала веб-атаку на исследователей)» . Архивировано из оригинала на 27 мая 2012 года . Проверено 1 апреля 2012 года .
  2. ^ a b c Гудин, Дэн (20 апреля 2007 г.). «Эксплойт нулевого дня Safari приносит приз в 10 000 долларов» . Ванкувер: Регистр . Проверено 10 апреля 2010 года .
  3. ^ a b c d e f Гудин, Дэн (14 января 2019 г.), конкурс Pwn2Own заплатит 900 000 долларов за взломы, использующие эту Tesla , Ars Technica , полученную 16 августа 2019 г.
  4. ^ a b c d e Уиттакер, Зак (9 ноября 2019 г.), Два исследователя в области безопасности заработали 60 000 долларов за взлом Amazon Echo. , TechCrunch , получено 14 ноября 2019 г.
  5. ^ a b c d Форслоф, Терри (3 мая 2007 г.). «Apple выпускает патч для ошибки QuickTime» . Архивировано из оригинального 25 -го января 2012 года . Проверено 1 апреля 2012 года .
  6. ^ a b c Форслоф, Терри (25 февраля 2009 г.). «Pwn2Own 2009» . Цифровые лаборатории вакцин . TippingPoint . Архивировано из оригинального 29 марта 2010 года . Проверено 11 апреля 2010 года .
  7. ^ a b c d e Нарайн, Райан (26 марта 2007 г.). «Как долго Mac сможет выжить в хакерских джунглях?» . Архивировано из оригинального 25 -го января 2013 года . Проверено 1 апреля 2012 года .
  8. ^ Naraine, Райан (1 февраля 2007). «Разработчик Mac обдумывает OS X эквивалент ZERT» . Проверено 1 апреля 2012 года .
  9. ^ Orchant, Марк (6 февраля 2007). «Отменить или разрешить? Хороший тычок в Vista UAC» . Проверено 1 апреля 2012 года .
  10. ^ а б «Об инициативе нулевого дня» . Инициатива нулевого дня. Архивировано из оригинального 18 -го марта 2012 года . Проверено 1 апреля 2012 года .
  11. ^ a b c d e Форслоф, Терри (19 марта 2008 г.). «CanSecWest PWN to OWN 2008 (обновлено)» . Архивировано из оригинального 14 марта 2012 года . Проверено 1 апреля 2012 года .
  12. ^ Б с д е Ruiu, Dragos (20 марта 2008). «CanSecWest 2008 PWN2OWN - 26-28 марта» . Проверено 1 апреля 2012 года .
  13. ^ а б «Инициатива нулевого дня» . Архивировано из оригинала на 2012-03-01.
  14. ^ a b c Нарайн, Райан (7 марта 2012 г.), Pwn2Own 2012: песочница браузера Google Chrome первой упала , ZDnet
  15. ^ a b c d e f Нарайн, Райан (7 марта 2012 г.), Чарли Миллер пропускает Pwn2Own, поскольку новые правила меняют хакерскую игру , ZDnet
  16. ^ a b Продемонстрируйте свои навыки безопасности: Pwn2Own и Pwnium 3 , блог Chromium, 28 января 2013 г.
  17. ^ a b Кейзер, Грегг (14 сентября 2016 г.), Google предлагает 200 тысяч долларов за главный приз в новом испытании для взлома Android , Computer World , полученном 28 ноября 2019 г.
  18. ^ a b «Pwn2Own 2015: год, когда все браузеры перестали работать | ZDNet» . ZDNet . Проверено 25 ноября 2015 .
  19. ^ a b c d Армасу, Люциан. «Pwn2Own 2018: акцент меняется на эксплойты ядра, поскольку браузеры все труднее взламывать» . Оборудование Тома . Purch Group . Проверено 27 сентября 2018 года .
  20. ^ a b c d Уиттакер, Зак (28 августа 2019 г.), Хакеры для стресс-тестирования портала Facebook при взломе контента , TechCrunch , получено 16 августа 2019 г.
  21. ^ a b Старкс, Тим (29 октября 2019 г.), «Будущее и прошлое энергетики и торговли» , « Политико» , получено 28 ноября 2019 г.
  22. ^ a b c «Уязвимость Apple QTJava toQTPointer (), связанная с арифметикой перезаписи памяти» . Проверено 31 марта 2012 года .
  23. ^ a b c Ваас, Лиза (20 апреля 2007 г.). «Mac взломан через браузер Safari в конкурсе Pwn-2-Own» . eWeek . Архивировано из оригинального 22 января 2013 года . Проверено 10 марта 2011 года .
  24. ^ a b c d «Уязвимость Apple Safari WebKit PCRE для обработки целочисленного переполнения» . 16 апреля 2008. Архивировано из оригинального 20 ноября 2012 года . Проверено 1 апреля 2012 года .
  25. ^ a b c d Скофилд, Джек (18 марта 2009 г.). «Pwn2Own 2009: Mac падает за секунды» . Хранитель . Проверено 7 января 2021 .
  26. ^ a b c d «Уязвимость Adobe Flash Player DeclareFunction2, связанная с недопустимым использованием объекта» . 8 апреля 2008 . Проверено 1 апреля 2012 года .
  27. ^ a b «Apple OS X ATSServer Compact Font Format, анализирующая уязвимость, приводящую к повреждению памяти» . 13 мая 2009 . Проверено 1 апреля 2012 года .
  28. ^ a b Форслоф, Терри (18 марта 2009 г.). «Pwn2Own 2009, день 1 - Safari, Internet Explorer и Firefox уничтожены четырьмя эксплойтами нулевого дня» . Архивировано из оригинального 22 марта 2009 года . Проверено 1 апреля 2009 года .
  29. ^ a b «Уязвимость выполнения кода синтаксического анализа списка SVGList в Apple Safari» . 13 мая 2009 . Проверено 1 апреля 2012 года .
  30. ^ a b «Уязвимость Mozilla Firefox XUL _moveToEdgeShift (), приводящая к повреждению памяти» . 30 марта 2009 . Проверено 1 апреля 2012 года .
  31. ^ a b c d e f g h i Миллс, Элинор (24 марта 2010 г.). «iPhone, Safari, IE 8, Firefox взломаны в рамках конкурса CanSecWest» . CNet . Проверено 10 апреля 2010 года .[ мертвая ссылка ]
  32. ^ a b c "pwn2own, день первый: Safari, падение IE8, Chrome без возражений" . Арстехника.
  33. ^ a b c d e f g h i "Pwn2Own, день 2: iPhone, BlackBerry побеждены; Chrome, Firefox не показываются" . Арстехника .
  34. ^ a b Гудин, Дэн (8 марта 2012 г.), IE 9, на самой защищенной на данный момент Windows, следующий браузер, проигравший на конкурсе хакеров , Ars Technica
  35. ^ a b c Исследователи взламывают новейший Firefox с ошибкой нулевого дня , ZDnet , 9 марта 2012 г. Архивировано 13 марта 2012 г., на Wayback Machine
  36. ^ a b c 02:04, 8 марта 2013 г., at; tweet_btn (), Иэн Томсон. «Pwn2Own: IE10, Firefox, Chrome, Reader, Java-хаки приносят 500 тысяч долларов» . Реестр .CS1 maint: числовые имена: список авторов ( ссылка )
  37. ^ a b c «Pwn2Own 2013» . Hewlett Packard Enterprise. 2 марта 2013 г. Архивировано из оригинала 10 марта 2013 года . Проверено 10 марта 2013 года .
  38. ^ a b Обновление Chrome для Android , Google Chrome, 14 ноября 2013 г. , получено 17 ноября 2019 г.
  39. ^ a b c Мур, Майк (12 августа 2019 г.), Amazon Echo уязвим для старых недостатков безопасности , Engadget , получено 14 ноября 2019 г.
  40. ^ a b «Инициатива нулевого дня - Pwn2Own Tokyo 2019 - результаты первого дня» . Инициатива нулевого дня . Проверено 13 января 2020 .
  41. ^ a b «Инициатива нулевого дня - Pwn2Own Tokyo 2019 - итоговые результаты второго дня» . Инициатива нулевого дня . Проверено 13 января 2020 .
  42. ^ Naraine, Райан (23 апреля 2007). «10 вопросов хакеру MacBook Дино Дай Зови» . ZDNet . Проверено 16 ноября 2010 года .
  43. ^ «MacBook взломан на конкурсе конференции по безопасности» . IT Pro . Проверено 7 января 2021 .
  44. ^ «PWN to OWN Day Two: First Winner Emerges! (Обновлено)» . 27 марта, 2008. Архивировано из оригинального 12 апреля 2012 года . Проверено 1 апреля 2012 года .
  45. ^ «PWN к СОБСТВЕННОМУ: Последний день (и еще один победитель!)» . 28 марта, 2008. Архивировано из оригинального 12 апреля 2012 года . Проверено 1 апреля 2012 года .
  46. ^ Кеббел-Wyen, Джон (4 апреля 2008). «Блог группы реагирования на инциденты безопасности продуктов Adobe (PSIRT) / CanSecWest 2008 Pwn2Own Contest» . Архивировано из оригинального 17 апреля 2012 года . Проверено 1 апреля 2012 года .
  47. ^ Ruiu, Dragos (15 февраля 2009). «Курсы спикеров и додзё CanSecWest 2009 (14-20 марта)» . Проверено 1 апреля 2012 года .
  48. ^ Б с д Ruiu, Dragos (18 марта 2009). «Окончательные правила PWN2OWN» . Архивировано из оригинала 4 апреля 2012 года . Проверено 1 апреля 2012 года .
  49. ^ Форесман, Крис (27 марта 2009). «Победитель Pwn2Own говорит, что Mac более безопасен, но менее безопасен» . Ars Technica . Проверено 11 апреля 2010 года .
  50. ^ "Уязвимость выполнения кода указателя висящих свойств строк в Microsoft Internet Explorer 8" . 10 июня 2009 . Проверено 1 апреля 2012 года .
  51. ^ Тиннес, Жюльен. «Напишите один раз, владейте всеми, проблемы с десериализацией Java» . Проверено 8 сентября 2013 года .
  52. ^ Forslof, Terri (21 марта 2009). "Подведение итогов Pwn2Own" . Архивировано из оригинала на 11 февраля 2012 года . Проверено 1 апреля 2012 года .
  53. ^ a b c Портной, Аарон (15 февраля 2010 г.). «Pwn2Own 2010» . TippingPoint . Архивировано из оригинального 13 апреля 2010 года . Проверено 10 апреля 2010 года .
  54. ^ «О безопасности Safari 4.0.5» . Apple , Inc . 15 марта 2010 . Проверено 4 мая 2010 года .
  55. ^ «Opera Mini достигает важной вехи - переходит 50 миллионов активных пользователей» . Программное обеспечение Opera ASA . 12 февраля 2010 года Архивировано из оригинала 23 декабря 2011 . Проверено 23 июля 2011 года .
  56. ^ «Один браузер. 3000 телефонов» . Программное обеспечение Opera ASA . 8 июля 2010 года архивации с оригинала на 8 июля 2011 года . Проверено 23 июля 2011 года .
  57. ^ "Сто миллионов" . Программное обеспечение Opera ASA . 10 февраля 2011 года в архив с оригинала на 6 августа 2011 года . Проверено 23 июля 2011 года .
  58. ^ «Opera достигает (еще) 100 миллионов пользователей» . Программное обеспечение Opera ASA . 7 апреля 2011 года Архивировано из оригинала 13 июля 2011 . Проверено 23 июля 2011 года .
  59. ^ «Mozilla Foundation Security Advisory 2010-25 - Повторное использование освобожденного объекта из-за путаницы в области видимости» . Mozilla . 1 апреля 2010 . Проверено 10 апреля 2010 года .
  60. ^ Объявляя Pwn2Own 2011 , лаборатории TippingPoint Digital Vaccine Блог, 2 февраля 2011, в архиве с оригинала на 10 февраля 2011
  61. ^ PWN2OWN 2012 Правила архивации 1 марта 2012, в Wayback Machine
  62. ^ Статус PWN2OWN 2012 Архивировано 26 июня 2012 года в Wayback Machine.
  63. ^ Naraine, Райан (7 марта 2012), CanSecWest Pwnium: Google Chrome взломали с песочницей шунтирования , ZDnet
  64. ^ «На конкурсе хакеров Google Chrome подвергается третьей атаке нулевого дня (обновлено)» . Ars Technica .
  65. ^ «После pwnage: критическая дыра в Google Chrome закрыта за 24 часа» . Ars Technica .
  66. ^ a b Константин, Люциан, исследователи взламывают Internet Explorer 11 и Chrome на Mobile Pwn2Own , PCWorld , получено 18 ноября 2019 г.
  67. ^ "Chrome; Firefox; IE 10; Java; Win 8 падает на # pwn2own hackfest" . Журнал SC . Архивировано из оригинала на 2013-03-10 . Проверено 7 марта 2013 .
  68. ^ «Результаты Pwn2Own за среду (первый день)» . Архивировано из оригинала на 2014-03-16 . Проверено 15 марта 2014 .
  69. ^ «Результаты Pwn2Own за четверг (второй день)» . Архивировано из оригинала на 2014-03-17 . Проверено 15 марта 2014 .
  70. ^ a b Вестервельт, Роберт (10 июня 2014 г.), Microsoft Fixes 57 Internet Explorer Flaws, Addresses Hacker Contest Bugs , CRN , получено 19 ноября 2019 г.
  71. ^ a b Кейзер, Грегг (17 марта 2014 г.), Google исправляет Chrome на сумму 310 тыс. долларов, ошибки Chrome OS , ComputerWorld , получено 18 ноября 2019 г.
  72. ^ Тунг, Лиам (14 марта 2014 г.), Pwn2Own: 14 эксплойтов браузера и плагинов, которые АНБ не будет покупать , Zdnet , получено 18 ноября 2019 г.
  73. ^ «В этом году на # Pwn2Own мы использовали в общей сложности 11 нулевых дней и сообщили HP + поставщикам о * полных * эксплойтах (включая выходы из песочницы), чтобы исправить их!» . Архивировано из оригинала на 2015-04-02 . Проверено 15 марта 2014 .
  74. ^ "Список вещей" . Архивировано из оригинала на 2016-03-20.
  75. ^ Кернер, Шон Майкл (14 марта 2014 г.), Pwn2Own 2014 утверждает IE, Chrome, Safari и другие Firefox Zero-Days , eWeek , получено 18 ноября 2019 г.
  76. ^ «Песочница безопасности Windows Phone пережила Pwn2Own невредимой» . Ars Technica . 13 ноября 2014 г.
  77. ^ Дэн, Ирис, поддерживаемые Tencent хакеры, получившие похвалу от Илона Маска, однажды обнаружили недостатки в iOS от Apple , South China Morning Post , получено 29 ноября 2019 г.
  78. ^ "Все браузеры отключаются" . Зднет . 23 марта 2015 года.
  79. ^ Паули, Даррен (4 августа 2016 г.), Хакеры подробно описывают кровь и кишки эксплойта Pwn2Own 2016 г. , получено 29 ноября 2019 г.
  80. ^ «Chrome, Edge и Safari взломаны» . VentureBeat . 18 марта 2016 г.
  81. ^ «Pwn2Own 2016: Windows наиболее взламывается, Edge остается в силе, Firefox отсутствует в действии» . eWeek .
  82. ^ a b Стангел, Люк (22 января 2018 г.), Google только что заплатил чек за самую крупную в истории награду за ошибку , Silicon Valley Business Journal , полученную 29 ноября 2019 г.
  83. ^ Руссон, Мэри-Энн (21 марта 2017 г.), виртуальная машина VMWare наконец взломана на конференции по безопасности Pwn2Own 2017 , получено 28 ноября 2019 г.
  84. ^ "Pwn2Own2017: Chrome победитель" . SecurityZap.[ мертвая ссылка ]
  85. ^ a b Хеллер, Майкл (3 ноября 2017 г.), Исследователи взломали iOS 11 на Mobile Pwn2Own 2017 г. , получено 28 ноября 2019 г.
  86. ^ Брюстер, Томас (1 ноября 2017 г.), «Apple предупредила о злонамеренной атаке Wi-Fi, которая устанавливает вредоносное ПО на iPhone» , Forbes
  87. ^ a b Синий, Фиолетовый (16 марта 2018 г.), Когда Китай копит хакеров, все проигрывают , Engadget
  88. ^ Abacus (19 ноября 2019 г.), китайские хакеры взламывают Chrome, Microsoft Edge и Safari, соревнуясь , South China Morning Post , получено 27 ноября 2019 г.
  89. ^ a b «Хакеры получили 267 000 долларов на Pwn2Own 2018» . Неделя безопасности.
  90. ^ Кернер, Шон Майкл. «Хакеры Pwn2Own 2018 зарабатывают 162 тысячи долларов за Safari, Edge, VirtualBox Exploit» . eWEEK . QuinStreet Enterprise . Проверено 27 сентября 2018 года .
  91. ^ «Правила Pwn2Own 2018» . Инициатива нулевого дня . Архивировано из оригинала на 18 июня 2018 года . Проверено 27 сентября 2018 года .
  92. ^ a b Фингас, Джон (10 ноября 2019 г.), Amazon Echo Show становится жертвой старого изъяна на хакерском конкурсе TechRader , полученного 14 ноября 2019 г.
  93. Чайлдс, Дастин (21 января 2020 г.). «PWN2OWN Майами 2020 - Расписание и текущие результаты» . TheZDI.com . Проверено 16 марта 2020 года .
  94. ^ «Pwn2Own 2020: исследователи снова приглашены взломать Tesla» . www.securityweek.com . Проверено 7 января 2021 .
  95. Розенблатт, Сет (31 марта 2020 г.). «Каково это - лично присутствовать на конференции в возрасте COVID-19» . Быстрая компания . Проверено 7 января 2021 .

Внешние ссылки [ править ]

  • Конференция по прикладной безопасности CanSecWest