Los organizadores de Zero Day Initiative (ZDI) anunciaron el evento Pwn2Own 2019, cuyos participantes están invitados a demostrar las técnicas de trabajo para explotar vulnerabilidades previamente desconocidas.
El evento se llevará a cabo del 20 al 22 de marzo en la conferencia CanSecWest en Vancouver. El tamaño del fondo de premios es de más de dos millones y medio de dólares.
Pwn2Own es un concurso de hacking informática que se realiza anualmente en la conferencia de seguridad CanSecWest, a partir del 2007.
Los participantes se enfrentan al desafío de explotar software y dispositivos móviles ampliamente utilizados con vulnerabilidades desconocidas hasta ahora.
Los ganadores del concurso reciben el dispositivo que explotaron, un premio en efectivo y una chaqueta “Masters” que celebra el año de su victoria.
El nombre “Pwn2Own” se deriva del hecho de que los participantes deben ” pwn”o hack del dispositivo para”poseerlo”o ganarlo.
El concurso Pwn2Own sirve para demostrar la vulnerabilidad de dispositivos y software de uso generalizado y también proporciona un punto de control sobre el progreso realizado en seguridad desde el año anterior.
Sobre el Pwn2Own 2019
Este año, el hacking del Kernel de Linux, así como la mayoría de los proyectos abiertos (nginx, OpenSSL, Apache httpd) se excluyeron de las nominaciones a los premios.
En los últimos años, el hacking se limitó a la demostración de una vulnerabilidad del Kernel de Linux en base a vulnerabilidades Zero Day en el año 2017 que permite a un usuario local elevar sus privilegios en el sistema.
Así mismo la distribución de Linux “Ubuntu” fue eliminada de la cantidad de entornos para hacking. De los proyectos abiertos, solo los navegadores (Firefox, Chrome) y VirtualBox quedan en las nominaciones, pero las explotaciones para ellos deben demostrarse en el entorno de Windows.
Al mismo tiempo, una nueva categoría de premios para los sistemas de información del hacking del automóvil Tesla Modelo 3 se ha agregado a la competencia futura, la cantidad total de pagos de premios en los que se superan los 900 mil dólares.
Las nominaciones relacionadas con Tesla implican obtener control sobre el Bus CAN, dejar el malware activo después de un reinicio, realizar ataques al módem, sintonizador, Wi-Fi, Bluetooth, sistema de información y entretenimiento, piloto automático y la función de usar el teléfono inteligente como una tecla.
El premio más grande, es de 250 mil dólares en tamaño, se proporciona para la ejecución del código administrado en el contexto de los subsistemas Gateway (enlaza todos los sistemas de información del vehículo), el piloto automático o VCSEC (subsistema de seguridad).
Para iniciar el fallo del piloto automático, se ofrece una bonificación de 50 mil dólares, para desbloquear bloqueos, arrancar el motor sin una llave y obtener el control sobre el bus CAN – 100 mil, para obtener acceso raíz al sistema de infoentretenimiento 85 mil dólares.
Sobre las recompensan
Las nominaciones relacionadas con las tecnologías de servidor se limitaron al premio por piratear Microsoft Windows RDP (un premio de 150 mil dólares).
Las recompensas por la explotación de vulnerabilidades en aplicaciones de usuario se proporcionan para Adobe Reader (40 mil), Microsoft Office 365 ProPlus (60 mil) y Microsoft Outlook (100 mil).
Se reclaman nominaciones de ataques de navegador para Google Chrome (80 mil), Microsoft Edge (50, 60 y 80 mil), Apple Safari (55 y 65 mil) y Mozilla Firefox (40 y 50 mil).
De los sistemas de virtualización que participan en la competencia, VirtualBox (35 mil), VMware Workstation (70 mil), VMware ESXi (150 mil) y Microsoft Hyper-V Client (250 mil) están marcados.
Proporcionado por separado para la nominación para la escalada de privilegios a través de la explotación de vulnerabilidades en el kernel de Windows (30 mil).
Finalmente, ningún Pwn2Own estaría completo sin coronar al Maestro de Pwn. Dado que el orden del concurso se decide mediante un sorteo al azar, los participantes que puedan presentar una gran investigación, pero sean los últimos en exponer recibirán menos dinero ya que las rondas subsiguientes pierden valor.
Sin embargo, los puntos otorgados por cada entrada exitosa no bajan. Alguien podría tener un mal empate y aun así acumular más puntos.
La persona o el equipo con más puntos al final del concurso será coronado como Master of Pwn, recibirá 65,000 puntos de recompensa ZDI.
Noticia obtenida de blog.desdelinux.net