در مسابقه امنيتي Pwn2Own امسال 645 هزار دلار به هکرها جايزه پرداخت خواهد شد

در مسابقه امنيتي Pwn2Own امسال 645 هزار دلار به هکرها جايزه پرداخت خواهد شد

ابتکار روز صفر هوليوت پاکارد (ZDI) قوانين مسابقه هک خود يعني Pwn2Own را که در ماه مارس برگزار خواهد شد تعيين کرد. طي اين مسابقه، 645 هزار دلار جايزه به هکرها و محققاني که بتوانند مرورگرهاي معروف و افزونه‌هاي پرکاربرد را مورد نفوذ قرار دهند تعلق خواهد گرفت.

Date:1392/11/30

 ZDI، برنامه‌ي کشف باگ کمپاني HP است که توسط بخش TippingPoint اين شرکت برگزار مي‌شود؛ اين بخش توليدکننده‌ي سيستم‌هاي جلوگيري از نفوذ (IPS) و فايروال‌هاي تجاري به منظور استفاده در شبکه‌هاي بزرگ شرکتي و تجاري است. در Pwn2Own امسال، اچ‌پي تا مبلغ 645 هزار دلار را بعنوان جايزه به کساني که بتوانند حفره‌هاي ناشناخته موجود در مرورگرهاي گوگل کروم، موزيلا فايرفاکس، مايکروسافت اينترنت اسکپلورر و اپل سافاري يا پلاگين‌هاي تحت مرورگر ادوبي ريدر، ادوبي فلش و جاواي اوراکل را کشف نمايند پرداخت خواهد نمود. اين اهداف، همان اهداف مورد تمرکز در مسابقه سال پيش نيز بوده‌اند.

جزئيات جايزه و اهداف

جايزه‌ي تعيين شده به حالت‌هاي گوناگوني تقسيم شده است؛ به اولين شخصي که بتواند کروم و يا اينترنت اکسپلورر 11 را بر روي پلتفرم ويندوز 8.1 مورد نفوذ قرار دهد مبلغ 100 هزار دلار، براي نفوذ به پلاگين‌هاي ادوبي فلش يا ريدر در اينترنت اکسپلورر 11 مبلغ 75 هزار دلار، و به همين صورت اين مبلغ براي اهداف گوناگون متغير خواهد بود تا در نهايت با رقم 30 هزار دلار براي نفوذ به جاوا ختم شود. همچنين براي نفوذ به مرورگر سافاري 65 هزار و براي نفوذ به فايرفاکس مبلغ 50 هزار دلار جايزه داده خواهد شد. يک جايزه‌ي 150 هزار دلاري جديد هم براي نوعي از نفوذ زنجيره‌اي با نام "نفوذ تک‌شاخ" در نظر گرفته شده است که شامل حلقه‌اي از نفوذها است که نه تنها اينترنت اکسپلورر 11 را بر روي پلتفرم ويندوز 8.1 هک مي‌کند، بلکه دسترسي اجراي کد در سطح سيستمي را نيز هنگامي که ابزار EMET مايکروسافت فعال است بدست مي‌آورد. EMET ابزاري است که بطور دستي، تکنولوژي‌هاي ضدنفوذ نظير (ASLR (address space layout randomization و (DEP (data execution prevention را براي برنامه‌هاي مشخصي فعال مي‌کند.

برايان گورنک، مدير تحقيقات آسيب‌پذيري ZDI طي مصاحبه‌اي که در روز جمعه برگزار شد در خصوص اين جايزه‌ي بزرگ مي‌گويد:

ما به دنبال نمايان کردن توانايي‌هاي برترين محققان امنيتي دنيا هستيم؛ ما مطلع هستيم که اين محققان چشم خود را به EMET دوخته‌اند و از همين رو سعي کرديم با گنجاندن چنين مرحله‌اي، مسابقه را بيش از پيش مشکل نماييم.

 براي بدست آوردن جايزه‌ي 150 هزار دلاري، هکرها بايد sandbox اينترنت اکسپلورر را که يک تکنولوژي دفاعي به منظور محفوظ نمودن مرورگر از ديگر بخش‌هاي سيستم‌عامل است دور زده و سپس حداقل يک نفوذپذيري سيستم را کشف کرده و دسترسي لازم را بدست آورند؛ تمام اين کارها بايد در حالي پياده‌سازي شود که سيستم امنيتي  EMET نيز فعال باشد. همانگونه که مدير تحقيقات آسيب پذيري ZDI نيز بيان داشت، EMET بخشي از يک مانع است که به منظور مشکل‌تر نمودن نفوذ به سيستم طراحي شده است. با اين حال همچنان راهي براي هک کردن سيستم وجود دارد؛ مايکروسافت بطور روزافزوني در حال تکيه بر EMET است به گونه‌اي که از آن بعنوان حفاظي براي جلوگيري از عملکرد باگ‌هاي کشف شده استفاده نموده و تلاش مي‌کند از اين طريق زمان بيشتري براي رفع اين باگ‌ها و ارائه آپديت بخرد. بنابراين در حقيقت اين سيستم، در حال پوشاندن تعدادي باگ است که هکرها مي‌توانند شيوه‌ي نفوذ به آن‌ها را يافته و از آن بهره برداري نمايند.

رويداد کنفرانس امنيتي

رويداد Pwn2Own که هشتمين سال برگزاري آن را پيش رو داريم، در تاريخ 12 و 13 مارس در خلال کنفرانس امنيتي CanSecWes در ونکوور کانادا برگزار خواهد شد. گوگل نيز در زمينه امنيت مسابقه اختصاصي Pwnium خود را طي همين کنفرانس و به منظور کشف نفوذپذيري‌هاي ناشناخته سيستم‌عامل و مرورگر کروم برگذار مي‌کند که پيش‌تر به خبر برگذاري دور جديد آن پرداختيم. در طي مسابقه Pwn2Own، هر تيم به مدت 30 دقيقه فرصت خواهد داشت تا نفودپذيري کشف شده توسط خود را توضيح دهد و جايزه را از آن خود کند. در اصل يکي از قوانين نه چندان خوشايند اين مسابقه، اين است که تنها به تيم‌هايي که نام آن‌ها بصورت اتفاقي و از طريق قرعه‌کشي خارج مي‌شود فرصت توضيح نفوذپذيري و دريافت جايزه داده مي‌شود و در صورتي که تيم ديگري اين هک را با موفقيت اجرا کرده باشد نيز جايزه‌اي دريافت نخواهد کرد. اين قانون طي دوره‌ي گذشته لغو شد که در نتيجه‌ي آن، چندين جايزه 20 هزار دلاري بخاطر نفوذ به جاوا اهدا شد. در هر صورت به نظر مي‌رسد مسئولان برگزاري اين دوره نتوانسته‌اند به امنيت اين اکوسيستم‌ها اعتماد کرده و هزينه‌هاي سنگين را بر دوش خود تحميل نمايند! البته گفته مي‌شود با توجه به تعداد شرکت‌کنندگان ممکن است در برخي قسمت‌ها با چندين برنده نيز روبرو باشيم.

Pwn2Own طي سال‌هاي گذشته به شدت تحت تاثير تيم‌هاي شرکت کننده بوده و به ضرر شرکت‌کنندگان انفرادي به پايان رسيده است. به گونه‌اي که امکان شرکت در اين مسابقه بصورت تيمي، موجب شده است که تنها يک تيم به نام Vupen طي سال گذشته 250 هزار دلار از جايزه را براي نفوذ به اينترنت اکسپلورر، فايرفاکس، فلش و جاوا از آن خود کند. اين مساله اعتراض بسياري را برانگيخته که در ميان آن‌ها بسياري از برندگان دوره‌هاي قبل نيز مشاهده مي‌شوند که معتقدند کارهاي گروهي در اين مسابقه هيجان و لذت آن را از بين برده و آن را از يک مهارت فردي جدا کرده است. با اين حال برگذار کنندگان اظهار مي‌کنند که شرکت‌کنندگان آزاد هستند که تيم تشکيل داده و در نهايت جايزه را ميان خود تقسيم کنند و اين مساله به هيچ عنوان جذابيت مسابقات را تحت تاثير قرار نمي‌دهد. در سال 2013، مجموعا مبلغ 480 هزار دلار جايزه به برندگان تعلق گرفته است.

بخش TippingPoint کمپاني اچ‌پي و برنامه ZDI آن، از سال 2007 تا کنون حامي مالي مسابقات Pwn2Own بوده‌اند. پس از اينکه هکرها، شيوه و نحوه‌ي نفوذ مورد استفاده براي حمله به اهداف را در اختيار مسئولان قرار دادند، ZDI نتايج را تاييد کرده و اطلاعات کامل را براي توليدکننده‌ي اين محصولات ارسال مي‌نمايد که معمولا نمايندگاني را به منظور بررسي و حل سريع باگ‌هاي يافت شده به کار گمارده‌اند. برايان گورنک مي‌گويد:

اين مسابقه از چندين جهت براي ما اهميت دارد. يکي از مهم‌ترين آن‌ها، اين است که ما از اين طريق به نفوذپذيري‌ها و باگ‌هاي ناشناخته موجود دست پيدا مي‌کنيم و از اين طريق تلاش خواهيم کرد امنيت سيستم‌هاي مورد استفاده کاربران را بهبود بخشيم.

 

http://www.zoomit.ir


Rss Services Print  -(14 Body)  Visitor Count: 39580
Add Comments
Name:
Email:  
User Comments:
Security Code: Security CodeChange Image
iGap آپارات آراس اس تلگرام لينکدين
تمامي حقوق متعلق به شرکت ثامن ارتباط عصر مي باشد.