Pwn2Own tem premiação aumentada

Author Photo
3:02 pm - 27 de janeiro de 2012

A competição anual de invasores Pwn2Own será mais uma maratona do que uma corrida de cem metros. O patrocínio da HP/TippingPoint DVLabs alavancou o prestígio da competição ao aumentar os obstáculos.

Há apenas quatro alvos na competição desse ano, e todos são navegadores: Microsoft Internet Explorer, Moxilla Firefox, Google Chorme e Apple Safari. Diferentemente dos anos passados, não será uma corrida de zero-day, mas por sistemas de pontos com desafios específicos, e primeiro, segundo e terceiro lugares ganharão prêmios que totalizam US$ 105 mil para os três ganhadores da competição ou times.

O Google também oferece dois prêmios bônus para invasão completa ou parcial do Chrome. A completa significa usar falhas no código de execução do Chrome “um-sandboxed”. Segundo Aaron Portnoy, diretor da ZDI “pela invasão completa o prêmio (para cada um) é de US$ 20 mil”. Usar uma falha do Chrome, bem como do sistema operacional no qual ele se apoia, dá US$ 10 mil para cada competidor.

E isso é só o começo. “Se a pessoa quebrar o Chrome na competição, fica associada ao navegados e a nós.”.

Talvez a maior mudança na competição, que acontece no ConSecWest  entre 7 e 9 de março, seja o comprimento e a largura: não haverá mais o “fim do jogo” quando um competidor atingir uma falha zero-day no software alvo. Os vencedores serão baseados em um sistema de pontos, e não haverá invasão de dispositivos móveis.

A ZDI também irá inserir novos elementos: vulnerabilidades corrigidas nas quais os pesquisadores da empresa encontraram falhas.

Os competidores têm três dias para escrever uma exploração que funcione contra o alvo. Se conseguir invadir no primeiro dia, ganha 10 pontos; no segundo, ganha 9 pontos; se realizar a exploração no terceiro dia, ganha 8 pontos.

Uma exploração zero-day encontrada vale 32 pontos por indivíduo ou equipe, para ficar em primeiro lugar, o vencedor precisa achar pelo menos um zero-day. O primeiro lugar geral ganha US$ 60 mil, o segundo US$ 30 mil e o terceiro US$15 mil. Se invadirem o Chrome, ganham bônus de acordo com os critérios do Google.

Como em todas as outras vezes, os fornecedores afetados pela competição recebem relatório das vulnerabilidades descobertas e os vencedores ganham novos laptops, além do prêmio em dinheiro.

A ZDI postou uma descrição completa das regras aqui.

 

Notícias relacionadas

Notícias
SpaceX, Anthropic e OpenAI enfrentam riscos em possíveis IPOs
Notícias
Sem equipes preparadas, IA não entrega transformação
Notícias
Cohesity obtém patente para aplicar IA diretamente em dados de backup corporativos
Notícias
Para Diogo Cortiz, maior desafio da IA é a falta de capacidade crítica para questionar suas respostas
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.