The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от opennews (??), 15-Янв-19, 21:22 
Организаторы инициативы Zero Day Initiative (http://zerodayinitiative.com/) (ZDI) анонсировали (https://www.zerodayinitiative.com/blog/2019/1/14/pwn2own-van...) мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится   с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов.


В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив  Ubuntu  убран (https://www.zerodayinitiative.com/Pwn2Own2019Rules.html) из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.


При этом в состав будущего соревнования добавлена новая категория премий за взлом информационных систем автомобиля Tesla Model 3, общий размер призовых выплат в которой составляет более 900 тысяч долларов. Связанные с Tesla номинации затрагивают получение контоля за шиной
CAN Bus, оставление вредоносного ПО активным после перезапуска, проведение атак на модем, тюнер, Wi-Fi, Bluetooth, информационно-развлекательную систему, автопилот и функцию использования смартфона в роли ключа. Наибольший приз, размером 250 тысяч долларов, предусмотрен за выполнение кода в контексте подсистем Gateway (связывает все информационные системы автомобиля), Autopilot или VCSEC (подсистема обеспечения безопасности).


Номинации связанные с серверными технологиями ограничились призом за взлом Microsoft Windows RDP. Награды за эксплуатацию уязвимость в пользовательских приложениях предусмотрены для Adobe Reader,
Microsoft Office 365 ProPlus (Word/Excel/PowerPoint) и Microsoft Outlook. Номинации атак на браузеры заявлены для Google Chrome, Microsoft Edge, Apple Safari и Mozilla Firefox. Из участвующих в соревновании систем виртуализации отмечены VirtualBox, VMware Workstation, VMware ESXi и Microsoft Hyper-V Client. Отдельно предусмотрена номинация за повешение привилегий через эксплуатацию уязвимости в ядре Windows.


URL: https://www.zerodayinitiative.com/blog/2019/1/14/pwn2own-van...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49956

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +1 +/
Сообщение от MPEG LA (ok), 15-Янв-19, 21:24 
это потому что 1% или линакс идеален и ломать там нечего?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +16 +/
Сообщение от Константавр (ok), 15-Янв-19, 21:44 
1% ??? Я думаю, на серваках им ой как интересно. Тут скорее "спонсор" объявился, который на букву "М", он всем популярно объяснил на какой платформе надо сконцентрироваться, потому что он проплатил поиск проблем в своей системе, а не у конкурентов.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +12 +/
Сообщение от Annoynymous (ok), 15-Янв-19, 21:45 
Странный спонсор. Теперь все будут говорить, что на pwn2own поломали всех, кроме Linux.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –5 +/
Сообщение от пох (?), 15-Янв-19, 22:30 
нет, говорить будут что линукс вон каждый год ломали, а теслу никто не взломал.

потому что если ты можешь взломать теслу - тебе те копейки нафиг не упали - просто каждый день новая тесла будет автоуезжать от дома счастливого владельца прямиком куда-нибудь в гаражи на окраине - даже по запчастям должно получиться неплохо.

А привлечь тебя если даже поймают- очень сложно - "она же сама уехала, я даже близко к ней не подходил".

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +5 +/
Сообщение от Annoynymous (ok), 15-Янв-19, 22:56 
> просто каждый день новая тесла будет автоуезжать от
> дома счастливого владельца прямиком куда-нибудь в гаражи на окраине - даже
> по запчастям должно получиться неплохо.

С тем же успехом можно сказать, что если ты умеешь ломать линукс, то на тебя майнят все серверы мира и те копейки тебе нафиг не упали.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +2 +/
Сообщение от Аноним (27), 16-Янв-19, 02:49 
Ко всем серверам мира приставлен админ на зарплате, а десктопные лоханки на винде администрирует такие специалисты как твоя бабушка и школота. Вопрос, где дольше проживет малварь-майнер?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +1 +/
Сообщение от Аноним (29), 16-Янв-19, 03:24 
Живем ведь один раз чтобы идти в размен со своей кармой!
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

38. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от нах (?), 16-Янв-19, 09:43 
да ты попробуй чего намайни на тех серверах - я вот пробовал, чота расстроился. От майнинга в браузере и то больше толка - не даром они все нынче у нас лезут в gpu. Но эту номинацию, смотрю, тоже отменили ;-)

Вот если ломануть пул или рабочую станцию дятла-майнера - тогда профит есть, ну так они в конкурсе и не участвуют по этой причине ;-)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

51. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от Annoynymous (ok), 16-Янв-19, 20:24 
> да ты попробуй чего намайни на тех серверах - я вот пробовал, чота расстроился.

Да ладно, бесплатно-то и уксус сладкий :-)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

53. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от нах (?), 17-Янв-19, 10:41 
> Да ладно, бесплатно-то и уксус сладкий :-)

ну какое там бесплатно - найди уязвимость, напиши эксплойт - не на пруф оф консепт, а нормально и без палева работающий, настрой майнер, сныкай кошелечек, чтоб к тебе прям завтра же не пришли - могут же и плохие ребята пожаловать, которые не чтят УК вообще...

а выхлоп - ну хоть плачь: блейдовая корзина, больше вообще ничем не занятая, в прошлом году могла  намайнить тебе аж где-то $100 в месяц, а сегодня небось и полтинника не наберешь. Да ну его  нахрен так трахаться ради полтинника.

а вот браузерный майнинг, по-моему, имеет будущее. "webasm", "рендеринг на gpu", "мазила не тормозит" - выглядит вполне перспективно.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

50. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +1 +/
Сообщение от Ordu (ok), 16-Янв-19, 20:04 
Какое Маску дело до этого?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

55. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 18-Янв-19, 01:40 
> Какое Маску дело до этого?

Пиар, очевидно.  Ну ему-то ещё какое бывает?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

25. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –1 +/
Сообщение от Аноним (25), 16-Янв-19, 01:31 
Гениальный ход купить десяточку про, переплатив и ради взлома, а может и не сломает но уже куплено? MS и тут зарабатывает...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +5 +/
Сообщение от Иван (??), 15-Янв-19, 23:35 
Линукс убрали по результатам прошлого года. Очень легко стало находить баги.

https://www.tomshardware.com/news/pwn2own-2018-kernel-exploi...

Две цитаты:
1. Focus Changes To Kernel Exploits As Browsers Get Harder To Hack.
2. Kernel Exploits, The New “Go-To” For Browser Hackers. All the exploits that succeeded in breaking Safari, Edge, and Firefox’s security took advantage of OS kernel flaws or some other kind of sandbox escape.

Собственно в этом году решили за нахождение дырки в дуршлаге не платить.

Я серьезно. Возможно некоторые считают, что ядро Линуска супер-не-ломаемое, но это не так. Если кто не верит, может заглянуть на https://syzkaller.appspot.com/#upstream . Собственно вот вам и список на 542 уязвимости (UaFs, info leaks, всё что душе угодно). И каждый день находится ещё 1-3 новые. Почему никто не делает эксплоиты на это? Просто потому что никому не нужно. Но если организаторы pwn2own предлагают за это денюжку, то можно и написать.

Disclaimer. У некоторых могло возгореть от прочитанного. Я не говорю, что Линукс хуже других. Я лишь говорю, что ситуация с уязвимостями в Линуксе не идеальная.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

28. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +6 +/
Сообщение от Генус (?), 16-Янв-19, 03:13 
Ну и обе твои цитаты высказаны обо всех ядрах всех ОС,а не только о линуксе.
Там прямо это указано. Но наблюдательный пользователь поймёт и по упоминанию в твоих цитатах сафари.

Я не говорю, что ядро Линукс без дыр, но в ходе этого мероприятия их больше заинтересовали прорывы песочниц браузерами в Винде. Взять тот же Firefox из статьи.

Кстати, там и названы причины - в ядре Линукс найденные дырки латают сильно быстрее, в отличии от...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

41. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +1 +/
Сообщение от нах (?), 16-Янв-19, 10:23 
> Почему никто не делает эксплоиты на это?

почему же не делают? Делают. Червяки пришедшие по ssh юзером test или oracle - через секунду становятся рутом, причем чаще всего это zero day.

В паблик не выкладывают - ну так а зачем, заткнут дыру, опять пол-дня терять новый эксплойт писать, а майнингу не хватает мощностей.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

42. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +1 +/
Сообщение от Аноним (42), 16-Янв-19, 10:39 
> Почему я не делаю эксплоиты на это?
> Просто потому что не умею.

Кто бы сомневался.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –1 +/
Сообщение от Аноним (-), 16-Янв-19, 00:05 
Это чтобы не было мотивации свежие закладки раскрыть.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +1 +/
Сообщение от Аноним (5), 15-Янв-19, 21:31 
Надо ехать хоть денег можно заработать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –1 +/
Сообщение от Аноним (8), 15-Янв-19, 21:46 
Ну это ШОУ. За Взлом Теслы выдадут Тэслу. А за взлом Линукс - что?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +8 +/
Сообщение от klalafuda (?), 15-Янв-19, 22:01 
Подозреваю что за качественный удаленный взлом линукса можно смело просить несколько тесл. И вполне себе дадут.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –8 +/
Сообщение от пох (?), 15-Янв-19, 22:34 
эммм... вообще-то 250 тыщ долларов - это не "несколько", а несколько десятков model3. Даже S'ок выйдет поболее десяти, по-моему, она на родине тыщ 12 сейчас стоит - "устаревшая модель, начала 2018 года".


но если по твоей команде тесла уезжает от хозяина - ты можешь себе набрать парк не в десятки, а в сотни.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

32. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –2 +/
Сообщение от zoonman (ok), 16-Янв-19, 07:30 
Нормальная покупабельная тесла стоит примерно 60 килобаксов после выплаты всех налогов и сборов.
Американцы берут такие машины в кредит, ибо сразу заплатить дорого, а ездить хочется прямо сейчас.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

40. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от нах (?), 16-Янв-19, 10:19 
если бы тебе давали кредит под 0% (а автокредиты у проклятых мериканцев либо под 0, в виде "уникального предложения, действует следующие 24 часа" (обновляется каждый день ;-) либо под копейки ниже инфляционных потерь) - ты бы тоже свой жигулятор брал в кредит. Но производителю хочется всех твоих денег прямо сейчас, а деваться с подводной лодки тебе некуда.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

56. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от Michael Shigorinemail (ok), 18-Янв-19, 01:44 
> если бы тебе давали кредит под 0%

...то ты бы разожрался так, что или цены бы попёрли как у проклятых американцев на недвижимость, или "движение бабла" со всех этих перекредитаций пришлось бы срочно рассовывать по пузырям... ой, опять как у.

Нормальные люди всё-таки помнят, что ничто из ниоткуда не берётся.  Даже удар "пустой" рукой.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

34. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +4 +/
Сообщение от Аноним (34), 16-Янв-19, 07:41 
> вообще-то 250 тыщ долларов - это не "несколько", а несколько десятков model3. Даже S'ок выйдет поболее десяти, по-моему, она на родине тыщ 12 сейчас стоит - "устаревшая модель, начала 2018 года".

Я как человек пытавшийся недавно купить теслу (в штатах), замечу:
Новая Model S в базовой комплектации + налоги это где-то $90К, даже 5ти летнюю S-ку за $30К ты вряд ли купишь. Новая тройка где-то в $33К обойдется и ты её ещё ждать будешь полгода.

Я понимаю, пох, что ты недалёк, но элементарно погуглить мог бы.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

36. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от Аноним (34), 16-Янв-19, 07:50 
Для справки:
Model S P100D   $133,000 + налоги (~10%)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

54. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от нах (?), 17-Янв-19, 10:44 
> Для справки:
> Model S P100D   $133,000 + налоги (~10%)

ну что поделать, придется успешному белому хакеру на трешке ездить, иначе каждый день на новой не получится, как у чорного-пречорного :(

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

18. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +5 +/
Сообщение от Аноним (18), 15-Янв-19, 22:59 
>За Взлом Теслы выдадут Тэслу. А за взлом Линукс - что?

Линукс. Дадут тебе коллекционное издание убунты.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +4 +/
Сообщение от Q (??), 15-Янв-19, 23:18 
Ubuntu GOTY
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +2 +/
Сообщение от имя (?), 16-Янв-19, 01:53 
76
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

37. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от my_name_is_Mud (ok), 16-Янв-19, 08:35 
Нативные корованы! Джва года ждал!
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от псевдонимус (?), 16-Янв-19, 05:37 
>В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.

Ну и какой смысл в этом конкурсе? Или боятся подпортить репутацию линукс-систем?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от Аноним (34), 16-Янв-19, 07:45 
Кто девушку поит, тот её и танцует.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  –1 +/
Сообщение от нах (?), 16-Янв-19, 09:47 
>  Ну и какой смысл в этом конкурсе? Или боятся подпортить репутацию линукс-систем?

просто не хотят платить денег за то, что каждый дурак сможет. репутация там и так ниже плинтуса.

причем если сегодня дыр найти не удалось - надо просто немножко подождать, stable codebase is nonsense так же как api, завтра провертят парочку новых. Послезавтра заткнут пальцем, но ты уже можешь быть в числе призеров.

  

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

43. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от Аноним (43), 16-Янв-19, 10:42 
Это Вы на systemd намекаете ;)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

49. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +2 +/
Сообщение от нах (?), 16-Янв-19, 17:22 
> Это Вы на systemd намекаете ;)

зочем вы тгавите? Поверьте, у нас еще много-много вариантов разных дыр, уровня gethostbyname (glibc, remote root, три, что-ли, года), dccp (in-kernel) и n_tty.c (пять лет local root? рекорд)

прекрасно проживем и без systemd-exploitd - какой там объем патча у 5.0 ? Ну, вот... успехов все это верифицировать или хотя бы бегло просмотреть.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

58. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от псевдонимус (?), 19-Янв-19, 17:27 
>(пять лет local root?

НОТАБУГ! ЛОКАЛЬНО НЕ СЧЕТОВО!! В ВЫНЬДЕ ТЫ ДАЖЕ НЕ ЗНАЕШЬ, СКОЛЬКО У ТЕБЯ ДЫР И ВООБЩЕ ЕЙ КАПЕЦ!!!

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

59. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от псевдонимус (?), 19-Янв-19, 17:35 
Тогда лучше и честнее работать на ребят в чёрных шапках.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от J.L. (?), 16-Янв-19, 11:55 
> В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd)

по-моему это дискриминация!
чем больше хонипотов - тем лучше, а тут ещё и с наградой

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от лютый жабист__ (?), 17-Янв-19, 09:12 
Не понял почему так мало времени дают, всего 2 месяца? Я про замкад молчу, год наверное уйдёт. Но даже в штатах надо больше 2 месяцев.
Провоцируют угоны...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены..."  +/
Сообщение от Иваныч (??), 19-Янв-19, 00:46 
Плавненько так убрали от общества новые закладки в линухах..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor