Vítězné duo z týmu Fluoroacetate za hackerské úsilí – mimo jiné prokázalo možnost převzít úplnou kontrolu nad systémem pouhým otevřením PDF dokumentu – získalo vedle finančních odměn a 65 tisíc ZDI bodů také speciální hokejové dresy připomínající místo konání.
Ve dnech 19.-20. března 2020 se uskutečnilo tradiční hackerské klání Pwn2Own. Přestože samotná soutěž proběhla kvůli koronavirové pandemii vzdáleně, nijak to neubralo na její kvalitě – jednotlivé týmy demonstrovaly možnosti zneužití řady závažných dosud neznámých zranitelností v předních systémech a aplikacích včetně Microsoft Windows 10, Ubuntu Desktop, Oracle VirtualBox, VMware Workstation nebo Apple Safari.
Největší počet soutěžních bodů – celkem 9 – získal a loňské prvenství obhájil dvoučlenný tým Fluoroacetate ve složení Amat Cama a Richard Zhu, který mimo jiné prokázal možnost získání úplné kontroly nad operačním systémem pouhým otevřením PDF dokumentu pomocí prohlížeče Adobe Reader. Nejlepší soutěžící se podělili o finanční odměny ve výši 270 000 amerických dolarů, tedy v přepočtu takřka 7 miliónů korun.
Pwn2Own je každoroční „hackerská“ soutěž, ve které se účastníci snaží najít a využít dosud neznámé zranitelnosti v podnikových aplikacích, webových prohlížečích, virtualizačních platformách nebo systémech automobilů. Existuje i varianta soutěže zaměřená na zjišťování zranitelností v softwaru a protokolech pro průmyslové řídící systémy. Oblíbenou soutěž pořádá iniciativa Zero Day Initiative (ZDI), která povzbuzuje nezávislé výzkumníky v jejich úsilí o identifikaci dosud neznámých zranitelností a za poskytnuté informace rozdává odpovídající finanční i nefinanční odměny.
Tento rok se měla soutěž konat na konci března v kanadském Vancouveru, nicméně s ohledem na celosvětovou pandemii způsobenou koronavirem SARS-CoV-2 proběhl letošní ročník ve dnech 19.-20. března 2020 virtuálně. Organizátoři přitom udělali maximum možného, aby široká veřejnost i výrobci měli k dispozici všechny informace tak, jako kdyby se klání uskutečnilo v původně plánovaném fyzickém formátu. Zachovány zůstaly i klíčové mechanismy včetně losování průběhu soutěžního dne.
Iniciativa ZDI spadá pod společnost Trend Micro. Byla založena za účelem urychlení a zprostředkování hlášení dosud neznámých zranitelností přímo dotčeným výrobcům, v jejichž softwaru se chyba nachází – a jinak tomu nebylo ani v letošním virtuálním ročníku. Nálezci zranitelností jsou finančně odměněni. Trend Micro poté do svých zařízení bezodkladně zapracuje mechanismy, které zabrání zneužití nově nalezené zranitelnosti tak, aby jeho zákazníci byli chráněni ještě předtím, než daný výrobce vytvoří a dá k dispozici opravu – výrobci mají na přípravu záplaty (patche) před zveřejněním podrobnosti o nalezených zranitelnostech 90 dní. Na tvorbě ochranných filtrů pro řešení společnosti Trend Micro se výrazně podílí i výzkumníci z české pobočky.
„Soutěž Pwn2Own je již více než desetiletí prestižní akcí, která má významný podíl na odhalování dosud neznámých zranitelností – a tedy i na možnosti podstatně zvýšit kybernetickou bezpečnost každého jednotlivce, každé organizace. Jsem velmi rád, že současně s oznámením chyb výrobcům prakticky ihned vytváříme aktualizace i pro naše řešení a zákazníkům tak můžeme zajistit velmi vysokou míru ochrany. Je také skvělé vědět, že v dnešní době plné počítačového zločinu včetně útoků na zdravotnická zařízení existuje velké množství etických hackerů, kterým jde o dobro věci, a ne o peníze pocházející z nelegálních aktivit,“ řekl Jiří Gogela, Research & Development manažer ve společnosti Trend Micro.
Více informací o průběhu obou soutěžních dnech naleznete ZDE a také ZDE.
K dispozici jsou také videa, která naleznete ZDE.
