»

Na Pwn2Own spet padla večina programske opreme

Slo-Tech - V Vancouvru se je končalo znamenito hekersko tekmovanje Pwn2Own, ki tam poteka že od leta 2007. Na letošnjem tekmovanju so se od 18. do 20. maja merili računalniški strokovnjaki in hekerji, ki so iskali ranljivosti v popularni programski opremi. Tudi letos je večina programske opreme padla, za kar so bili tekmovalci nagrajeni. Skupno je 17 ekip ali posameznikov skušali izkoristiti ranljivosti v 21 kosih najpopularnejše programske opreme.

Prvi dan so bili na sporedu Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari in Ubuntu Desktop, ki so prav vsi padli. Nekaterimi med njimi - Microsoft Teams in Ubuntu Desktop - celo večkrat, saj je ranljivosti uspešno izkoristilo več skupin. Drugi dan so bili na vrsti Tesla Model 3 Infotainment System, Ubuntu Desktop in Windows 11, a je padel le Ubunto, in to dvakrat. Zadnji dan tekmovanja sta padla še Windows 11 in Ubuntu Desktop, prvi celo trikrat.

Tovrstni rezultati niso nič neobičajnega, saj običajno...

13 komentarjev

Severnokorejski hekerji čedalje uspešnejši

S takšnimi stranmi so prežali na uporabnike

Slo-Tech - Severnokorejski hekerji so izrabili svoj čas nezakrpano ranljivost CVE-2022-0609 v Chromu (zero-day vulnerability), s čimer so napadli več zahodnih podjetij, vključno z bankami, mediji in IT. Šlo je za delo dveh skupin. Operation Dream Job je napadla 250 računalnikov v 10 različnih podjetij, skupina AppleJeus pa 85 računalnikov. Googlov Adam Weidemann meni, da sta ekipi uporabljali isto kodo, a sta ciljali druge tarče in z drugimi vektorji.

Raziskovalci spremljajo Operation Dream Job od leta 2020, ko so jo v podjetju ClearSky opazili v napadih na obrambne pogodbenike in druga podjetja, ki sodelujejo z ameriško državo, denimo Boeing in McDonnell Douglas. Zbirali so poslovne skrivnosti in druge tajne podatke, napade pa so prožili s socialnim inženiringom prek LinkedIna, elektronske pošte, sporočil na WhatsAppu in podobno. AppleJeus je nekoliko starejši, saj so ga prvikrat opazili leta 2018, ko je napadal menjalnico kriptovalut. Znan je tudi kot ena prvih skupin, ki je z APT...

2 komentarja

Na Pwn2Own padla večina programske opreme

Slo-Tech - Končala se je letošnja izvedba vsakoletnega hekerskega tekmovanja Pwn2Own, na kateri prijavljene skupine in posamezniki poizkušajo demonstrirati izrabo ranljivosti v programski opremi, ki je na razpolago. Pwn2Own vsako leto poteka v Vancouvru, letos pa je zaradi pandemija koronavirusa postal virtualno tekmovanje. Ni pa se spremenil razplet, saj se je ponovno izkazalo, da je večina priljubljene programske opreme ranljiva. Razen enega poizkusa so uspeli vsi ostali.

Skupili so jo Applov Safari na MacOS, operacijski sistem Windows, Ubuntu Desktop, Oraclov VirtualBox in Adobe Reader na Windows. Uspešni tekmovalci so prejeli tudi nagrade, in sicer prvi dan 180.000 dolarjev in drugi dan še polovico toliko.

Tekmovanje je potekalo po ustaljenih pravilih. Razpisana je bila programska oprema, ki so jo ponudili proizvajalci in zagotovili tudi nagrade. Tekmovalci so se prijavili konkretno za posamezen izdelek in ga potem na tekmovanju morali tudi resnično napasti. Katero ranljivost so izrabili, so smeli razkriti le proizvajalcem, ki imajo sedaj 90 dni časa za pripravo popravkov, šele nato bo luknje javno znane.

7 komentarjev

Na Pwn2Own padla večina programske opreme

Trend Micro - V Vancouvru se je končalo vsakoletno hekersko tekmovanje Pwn2Own, na katerem so največji svetovni strokovnjaki tri dni iskali ranljivosti v moderni programski opremi: od navideznih strojev do brskalnikov in poslovnih okolij. Letošnji nagradi sklad je bil rekorden, podobno pa so bili rekordni tudi rezultati tekmovalcev.

Že prvi dan so organizatorji razdelili 233.000 dolarjev za pet uspešnih vdorov in enega deloma uspešnega. Ekipa 360 Security je uporabila prekoračitev kopice v jpeg2000, da je v Windows prek Adobe Readerja izvedla oddaljeno kodo. Samuel Groß in Niklas Baumstark sta na macu v Safariju uspela izkoristiti nekaj hroščev in dobiti višje privilegije v macOS. Deloma je bila luknja že zakrpana, a sta vseeno uspelo na touch bar zapisati sporočilo. Ekipa...

22 komentarjev

Masaker programske opreme na letošnjem Pwn2Ownu

Slo-Tech - Na letošnjem hekerskem tekmovanju Pwn2Own, ki se je odvijalo minula dva dni v Vancouvru, so razdelili 460.000 dolarjev nagrad tekmovalcem, ki so odkrili 21 novih ranljivosti v operacijskih sistemih Windows in OS X, v brskalnikih Safari, Edge in Chrome ter v Flashu. Firefox letos sploh ni bil na seznamu, ker se ocenili, da ima toliko lukenj, da njegovo lomljenje sploh ne bi bilo zanimivo.

Potem ko je bil Pwn2Own nekaj časa pod vprašajem, saj je prireditelja Tipping Point od Hewlett-Packarda odkupil Trend Micro, so tekmovanje ohranili in nekoliko modernizirali. Poleg klasičnih tarč in nagrad so uvedli tudi rubriko Master of Pwn, ki je služila kot nekakšen skupni seštevek za vse, ki so tekmovali v več kategorijah.

Na mizi je bilo 65.000 dolarjev za vdor v Chrome, prav toliko za...

35 komentarjev

Drugi dan Pwn2Own 2015 stoodstoten uspeh

Slo-Tech - V petek je bil v Vancouvru drugi dan tekmovanja Pwn2Own in tudi to pot so tekmovalci vdrli v vse izdelke na preizkušnji. Junak dneva je bil Jung Hoon Lee, ki je pod vzdevkom lokihardt zlomil zadnjo stabilno in najnovejšo beta verzijo brskalnika Chrome. Prek brskalnika mu je uspelo priti do dveh gonilnikov v jedru Windows, kar mu je omogočilo prevzem popolnega nadzora nad sistemom. V dveh minutah je dobil 110.000 dolarjev, kar je najvišja nagrada v zgodovini Pwn2Own. Seveda pa je treba vedeti, da trajajo priprave na tekmovanje več mesecev in da tekmovalci tja pridejo z že izdelanimi kosi kode za njim poznane ranljivosti, tako da si je ta znesek v resnici prislužil z večmesečnim delom (in večletnim izobraževanjem).

Že pred tem je Lee...

4 komentarji

Na letošnjem Pwn2Own največkrat zlomljen Firefox

Slo-Tech - Prejšnji teden je v Vancouvru potekala konferenca CanSecWest, v okviru katere vsako leto teče tekmovanje v vdiranju Pwn2Own. Razdelili so 850.000 dolarjev nagrad za 12 uspešnih napadov na komercialno programsko opremo. Največkrat je padel Firefox.

Prvi dan tekmovanja je pet ekip demonstriralo pet uspešnih napadov. Jüri Aedla je uspešno napadel Firefox (izvajanje kode zaradi pisanja in branja izven mej, out-of-bound read/write), Mariusz Mlynski je zoper Firefox izkoristil kar dve ranljivosti, in sicer eno za eskalacijo privilegijev in drugo za obvoz vgrajenih varnostnih mehanizmov. Francoska ekipa VUPEN, ki je tradicionalno med najmočnejšimi, je pokazala kar štiri ranljivosti. Zlomili so Adobe Flash, Adobe Reader, Microsoft Internet...

20 komentarjev

Google skupno ponuja milijon dolarjev za ranljivosti v Chromu

Google bo delil tudi chromebooke

vir: Chromium Blog
Chromium Blog - Približuje se letošnji dogodek CanSecWest, ki vsako leto marca poteka v kanadskem Vancouvru in v okviru katerega se odvije tudi hekersko tekmovanje Pwn2Own. Na njem se pomerijo ekipe strokovnjakov iz celega sveta in poizkusijo izkoristiti ranljivosti v brskalnikih in mobilnih telefonih, zmagovalci pa so bogato nagrajeni. Letošnji CanSecWest se bo začel danes teden in bo trajal tri dni. Program bo podoben kot lani, le da se je Google odločil, da ne bo več sodeloval, ampak bo razpisal lastno tekmovanje.

Razlog je sprememba pravil na Pwn2Own, ki od letos od tekmovalcev ne zahteva več, da razkrijejo vse hrošče in...

12 komentarjev