ComputerWorld - Vsakoletno tekmovanje hekerjev Pwn2Own, kjer se v Vancouvru zberejo najboljši iskalci ranljivosti ter napadajo priljubljene brskalnike in operacijske sisteme, bo letos nagradni sklad dvignilo za petkrat, so sporočili prireditelji. Pwn2Own bo letos potekal od 6. do 8. marca na konferenci CanSecWest v Vancouvru pod pokroviteljstvom HP TippingPointa. Nagradni sklad se je dvignil na 560.000 dolarjev.
Glavna nagrada v višini 100.000 gre tistemu, ki bo prvi kompromitiral Chrome na Windows 7 ali Internet Explorer 10 na Windows 8. Uspešen napad na IE9 bo vreden 75.000 dolarjev, Flash in Adobe Reader vsak po 70.000 dolarjev, Safari 65.000 dolarjev, Firefox 60.000 dolarjev in Java 20.000 dolarjev.
Letos se ponovno vrača Google, ki je lani izostal. Razlog je bila sprememba pravil, ki lani od udeležencev niso več zahtevala, da luknje razkrijejo. Zato je Google lani priredil svoje tekmovanje Pwnium, kjer so dvema raziskovalcema za uspešen napad na Chrome podelili 120.000 dolarjev. Letos bo spet treba razkriti napake, zato je Google nazaj. Kljub temu bo Google enkrat letos (datuma niso razkrili) organiziral tudi nekaj podobnega lanskemu Pwniumu, kjer bo na tapeti zgolj in samo Chrome. To pa ni edina sprememba v pravilih, ki so v resnici povratek na stanje pred letom 2011. Tekmovalci bodo pred tekmovanjem vnovič žrebali vrstni red nastopa, ki bo za vsakega trajal 30 minut. Kdor bo prvi zlomil program, bo zmagal.
Čakam pa, da se spet najde kak pametnjakovič, ki bo začel nabijat, da to sploh ni nič, ker imajo že vse vnaprej pripravljeno (kot se dogaja v podobnih temah).
Heh, to majo ziher 0-day exploite že pripravljene par mescev prej ker jih niso dali v javnost. :)
Seveda. Važno je, da jih tule za lep denar prodajo TippingPoint firmi.
Tisti, ki imajo malo soli v glavi bodo svoje 0day prodali kakšni "VUPEN" skupini. Kdor ima pa jajca jih bo pa lastnoročno prodal sumljivim vladnim organizacijam. Pri vsakem koraku, ki sem ga naštel se lahko na koncu zneska doda "0".
Uf sam kok časa morjo to preždet pred kompom da najdejo take ranljivosti. Jaz kot navadn uprabnik jih nikol ne bi najdu. Kaj šele da bi jih znal predstavt.
Drugače pa res ne vem zakaj bi se prijavili na to tekmovanje, če že nimaš vse spisano, v teh 30min je glih toliko časa, da se ti PC prižge in da v programu vpišeš IP napadanega računalnik...
Sai Baba: "Dam vam to, kar hočete, da boste hoteli to, kar vam želim dati."
Jaz si predstavljam zadeve tako. Recimo tri skupine, A je izžrebana tretja, B je izžrebana kot prva in C kot druga.
1. B - Trideset minut; zlomijo v 15 minutah 2. C - Trideset minut; zlomijo v 10 minutah 3. A - Trideset minut; zlomijo v 17 minutah
Zmaga, glede na najkrajši čas, skupina C. Da je nastopala kot druga tu nima nobene veze.
EDIT: Napačno sklepanje. Če prva skupina zlomi program, je zmagovalec, drugi niti ne nastopijo.
""If more than one contestant registers for a given category, the order of the contestants will be drawn at random. Based on the contestant order, the first contestant will be given an opportunity to attempt to compromise the selected target. If unsuccessful, the next randomly drawn contestant will be given an opportunity. This will continue until a contestant successfully compromises the target. After a target has been compromised, the contest for that category is over and no other contestants will participate in the contest for that category (unless Sponsor has offered an additional winner option, which would be announced at the conference if applicable). The first contestant to successfully compromise a selected target will win the prize money for that category.
During the contest, a contestant will have a 30-minute time slot in which to complete their attempt (not including time to set up possible network or device prerequisites). A successful attack against these targets must require little or no user interaction and must demonstrate code execution.""
