Slo-Tech - V Vancouvru se je končalo znamenito hekersko tekmovanje Pwn2Own, ki tam poteka že od leta 2007. Na letošnjem tekmovanju so se od 18. do 20. maja merili računalniški strokovnjaki in hekerji, ki so iskali ranljivosti v popularni programski opremi. Tudi letos je večina programske opreme padla, za kar so bili tekmovalci nagrajeni. Skupno je 17 ekip ali posameznikov skušali izkoristiti ranljivosti v 21 kosih najpopularnejše programske opreme.

Prvi dan so bili na sporedu Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari in Ubuntu Desktop, ki so prav vsi padli. Nekaterimi med njimi - Microsoft Teams in Ubuntu Desktop - celo večkrat, saj je ranljivosti uspešno izkoristilo več skupin. Drugi dan so bili na vrsti Tesla Model 3 Infotainment System, Ubuntu Desktop in Windows 11, a je padel le Ubunto, in to dvakrat. Zadnji dan tekmovanja sta padla še Windows 11 in Ubuntu Desktop, prvi celo trikrat.

Tovrstni rezultati niso nič neobičajnega, saj običajno...

Slo-Tech - Končala se je letošnja izvedba vsakoletnega hekerskega tekmovanja Pwn2Own, na kateri prijavljene skupine in posamezniki poizkušajo demonstrirati izrabo ranljivosti v programski opremi, ki je na razpolago. Pwn2Own vsako leto poteka v Vancouvru, letos pa je zaradi pandemija koronavirusa postal virtualno tekmovanje. Ni pa se spremenil razplet, saj se je ponovno izkazalo, da je večina priljubljene programske opreme ranljiva. Razen enega poizkusa so uspeli vsi ostali.

Skupili so jo Applov Safari na MacOS, operacijski sistem Windows, Ubuntu Desktop, Oraclov VirtualBox in Adobe Reader na Windows. Uspešni tekmovalci so prejeli tudi nagrade, in sicer prvi dan 180.000 dolarjev in drugi dan še polovico toliko.

Tekmovanje je potekalo po ustaljenih pravilih. Razpisana je bila programska oprema, ki so jo ponudili proizvajalci in zagotovili tudi nagrade. Tekmovalci so se prijavili konkretno za posamezen izdelek in ga potem na tekmovanju morali tudi resnično napasti. Katero ranljivost so izrabili, so smeli razkriti le proizvajalcem, ki imajo sedaj 90 dni časa za pripravo popravkov, šele nato bo luknje javno znane.

Trend Micro - Letos bo hekersko tekmovanje Pwn2Own, ki ob boku konferenci CanSecWest vsako leto poteka v Vancouvru, praznovalo 10. obletnico. Zaradi tega so prireditelji nabral še posebej velik kupček denarja in razpisali nekatere discipline, ki jih na tekmovanju še ni bilo. Lotili se bodo tudi Apacheja. Skupni nagradni sklad presega milijon dolarjev, kar je več kot dvakratnik lanskega.

Letošnji Pwn2Own bo potekal med 15. in 17. marcem v Vancouvru. Tekmovanje bo potekalo v petih kategorijah: pobeg iz navideznega stroja (VM Workstation in Microsoft Hyper-V), brskalniki in vtičniki (Edge, Chrome, Firefox, Safari, Flash v Edgeu), lokalna eskalacija privilegijev (Windows 10, Apple MacOS, Ubuntu), poslovna okolja (Adobe Reader, Word,...

Slo-Tech - Na letošnjem hekerskem tekmovanju Pwn2Own, ki se je odvijalo minula dva dni v Vancouvru, so razdelili 460.000 dolarjev nagrad tekmovalcem, ki so odkrili 21 novih ranljivosti v operacijskih sistemih Windows in OS X, v brskalnikih Safari, Edge in Chrome ter v Flashu. Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

Potem ko je bil Pwn2Own nekaj časa pod vprašajem, saj je prireditelja Tipping Point od Hewlett-Packarda odkupil Trend Micro, so tekmovanje ohranili in nekoliko modernizirali. Poleg klasičnih tarč in nagrad so uvedli tudi rubriko Master of Pwn, ki je služila kot nekakšen skupni seštevek za vse, ki so tekmovali v več kategorijah.

Na mizi je bilo 65.000 dolarjev za vdor v Chrome, prav toliko za...

threatpost - Danes se je v sklopu konference CanSecWest v Vancouvru začelo vsakoletno tekmovanje v vdiranju v brskalnike in operacijske sisteme Pwn2Own. Prvi dan so si tekmovalci prislužili 317.500 dolarjev, ko so zlomili Adobe Reader in Flash, Windows, Internet Explorer 11 in Firefox. Jutri bo na sporedu drugi dan tekmovanja.

Najprej sta ekipi Team509 in KeenTeam razbili Adobe Flash. KeenTeam je Flash razbila že tudi lani. Obe sta letos izrabili isto ranljivost, in sicer sta s prekoračitvijo kopice (heap overflow) izvedli nepooblaščeno kodo ter z eskalacijo privilegijev pridobili dostop do jedra Windows. Prejeli sta 85.000 dolarjev (60.000 za Flash in 25.000 za Windows). Nicolas Joly, ki je svoj čas delal za VUPEN, je prav tako uspešno zlomil...

Heise - Francoski VUPEN, ki ga poznamo kot večkratnega zmagovalca hekerskega tekmovanja Pwn2Own in podobnih natečajev ter kot vodilno varnostno podjetje, ki se ukvarja z iskanjem ranljivosti v programski opremi in prodaji podrobnosti o luknjah, se seli. Svoj sedež bodo iz Montpellierja zaradi francoske birokracije v eno izmed prožnejših držav. Omenjajo se Luksemburg, Singapur in ameriška zvezna država Maryland, kjer že imajo podružnico. Ni še povsem jasno, ali bodo podjetje le preselili, ali pa ga bodo poslali v likvidacijo in se v tujini organizirali povsem na novo.

Kot je povedal vodja VUPEN-a Chaouki Bekrar, so problem izvozne omejitve v Franciji. Dejal je, da sicer razume in podpira izvozne omejitve za nevarno tehnologijo, kamor sodijo tudi javnosti...

Slo-Tech - Drugi dan tekmovanja v vdiranju v prenosne telefone Mobile Pwn2Own, ki je potekalo v japonskem Tokiu, sta bila na tnalu telefona z Windows Phone in Androidom. Izkušena tekmovalca sta bila to pot manj uspešna, kot je bila konkurenca prvi dan. Tedaj so padli vsi telefoni, sedaj pa je bil vdor le delen.

Nico Joly, ki ga poznamo kot člana varnostne skupine VUPEN iz Francije, katera vsako leto tekmuje na tekmovanjih Pwn2Own, se je lotil Nokiine Lumie 1520, ki jo poganja Windows Phone. Vsi uspešni napadalci so poleg naprave, ki so jo uspeli nadvladati, domov odnesli še od 50.000-75.000 dolarjev; najvišjih nagrad za vdor prek sporočil ali...

Slo-Tech - Za nami je prvi dan dvodnevnega tekmovanja Mobile Pwn2Own, ki poteka v okviru konference PanSec v Tokiu. Za razliko od klasičnega Pwn2Owna so tu tarče telefoni, katerih zaščito poizkušajo prijavljeni tekmovalci zlomiti. Prvi dan je bil njihov izkupiček stoodstoten.

Mobile Pwn2Own tako kot izvirno verzijo organizira Zero Day Initiative, ki je v lasti Hewlett-Packarda. Letošnja sponzorja sta Google in BlackBerry, ki sta prispevala za 450.000 dolarjev nagrad. Tekmovalci se merijo v več kategorijah.

Prvi dan so bili na tapeti iPhone 5S, Samsung Galaxy S5, LG Nexus 5 in Amazon Fire Phone. Pet ekip se je lotilo štirih tarč in jih tudi zlomilo, pri čemer so našli devet hroščev. Korejska ekipa...

Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.

Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli...

Slo-Tech - Prejšnji teden je v Vancouvru potekala konferenca CanSecWest, v okviru katere vsako leto teče tekmovanje v vdiranju Pwn2Own. Razdelili so 850.000 dolarjev nagrad za 12 uspešnih napadov na komercialno programsko opremo. Največkrat je padel Firefox.

Prvi dan tekmovanja je pet ekip demonstriralo pet uspešnih napadov. Jüri Aedla je uspešno napadel Firefox (izvajanje kode zaradi pisanja in branja izven mej, out-of-bound read/write), Mariusz Mlynski je zoper Firefox izkoristil kar dve ranljivosti, in sicer eno za eskalacijo privilegijev in drugo za obvoz vgrajenih varnostnih mehanizmov. Francoska ekipa VUPEN, ki je tradicionalno med najmočnejšimi, je pokazala kar štiri ranljivosti. Zlomili so Adobe Flash, Adobe Reader, Microsoft Internet...

Slo-Tech - Končalo se je letošnje hekersko tekmovanje Pwn2Own, ki je od srede do danes potekalo v Vancouvru ob boku konference CanSecWest. O rezultatih prvega dne smo že pisali in nič manj zanimivo ni bilo v nadaljevanju. Na kratko torej povzemimo rezultate.

Prvi dan so padli IE10, Chrome, Firefox in Java. Drugi dan tekmovanja so bili na tapeti še ostale tarče. Francoski VUPEN je uspel zlomiti Flash, George Hotz, ki ga poznamo pod vzdevkom geohot in je zraven, ko pišemo o jailbreakih iOS-a in hekanju PlayStationa, pa je uspešno zlomil Adobe Reader. Na koncu je Ben Murphy zlomil še Javo, ki je v dveh dneh torej padla štirikrat in potrdil svoj sloves najbolj luknjičastega vtičnika. To pomeni, da so razdelili 480.000 dolarjev nagrad. Edina nepodeljena nagrada je ostala v kategoriji Safari, ki se ga nihče ni niti...

ComputerWorld - V Vancouvru poteka že sedmi Pwn2Own, kakor se imenuje vsakoletno tekmovanje v iskanju ranljivosti in njihovi uporabi za vdor v priljubljene operacijske sisteme, brskalnike in mobilne naprave. Letos se ponovno vrača Google, ki je lani sponzorstvo odpovedal, ker spremenjena pravila niso zahtevala razkritja uporabljenih ranljivosti proizvajalcu. Letos je spet vse po starem, saj morajo tekmovalci razkriti vse detajle o ranljivosti, da si prislužijo nagrado (tehnično gledano jim ZDI ranljivost odkupi). Nagradni sklad ni skromen in znaša dobrega pol milijona dolarjev.

Prvi dan tekmovanja so že padle največje zvezde. Francosko podjetje VUPEN, ki je vodilno v iskanju in žal tudi trgovanju...

ComputerWorld - Vsakoletno tekmovanje hekerjev Pwn2Own, kjer se v Vancouvru zberejo najboljši iskalci ranljivosti ter napadajo priljubljene brskalnike in operacijske sisteme, bo letos nagradni sklad dvignilo za petkrat, so sporočili prireditelji. Pwn2Own bo letos potekal od 6. do 8. marca na konferenci CanSecWest v Vancouvru pod pokroviteljstvom HP TippingPointa. Nagradni sklad se je dvignil na 560.000 dolarjev.

Glavna nagrada v višini 100.000 gre tistemu, ki bo prvi kompromitiral Chrome na Windows 7 ali Internet Explorer 10 na Windows 8. Uspešen napad na IE9 bo vreden 75.000 dolarjev, Flash in Adobe Reader vsak po 70.000 dolarjev, Safari 65.000 dolarjev, Firefox 60.000 dolarjev in Java 20.000...

ZDNet - Naslednji brskalnik, ki je padel na letošnjem hekerskem tekmovanju Pwn2Own v kanadskem Vancouvru, je Internet Explorer. Po tem ko je francoska skupina VUPEN takoj po začetku tekmovanja razsula Googlov Chrome (Chrome sicer letos tehnično ni del uradnega Pwn2Own, a to ni pomembno), so sedaj uspešno kompromitirali še računalnik s sveže nameščenim Windows 7 SP1 in Internet Explorerjem 9 z vsemi popravki.

Chaouki Bekrar iz VUPEN-a pojasnjuje, da so uporabili zelo staro ranljivost, povezano s prekoračitvijo kopice (heap overflow), s čimer so obšli DEP in ASLR, in nepovezano ranljivost v upravljanju s pomnilniškim prostorom. Luknja se je prvikrat pojavila že v Internet Explorerju 6 in do danes ni bila javno razkrita, tako da...

ZDNet - Včeraj se je v Vancouvru začelo letošnje tekmovanje Pwn2Own, kjer tekmovalci iščejo varnostne luknje v brskalnikih in mobilnih telefonov, v zameno za uspešne napade pa prvouvrščeni dobijo lepe nagrade. Tekmovanje se je začelo po našem času danes ob 0.30 uri. Safari in Internet Explorer sta že padla.

Ekipa francoskega podjetja Vupen je kljub popravku 5.0.4 za Safari, ki je izšel le nekaj ur pred prireditvijo,