A competição anual de invasores Pwn2Own será mais uma maratona do que uma corrida de cem metros. O patrocínio da HP/TippingPoint DVLabs alavancou o prestígio da competição ao aumentar os obstáculos.
Há apenas quatro alvos na competição desse ano, e todos são navegadores: Microsoft Internet Explorer, Moxilla Firefox, Google Chorme e Apple Safari. Diferentemente dos anos passados, não será uma corrida de zero-day, mas por sistemas de pontos com desafios específicos, e primeiro, segundo e terceiro lugares ganharão prêmios que totalizam US$ 105 mil para os três ganhadores da competição ou times.
O Google também oferece dois prêmios bônus para invasão completa ou parcial do Chrome. A completa significa usar falhas no código de execução do Chrome “um-sandboxed”. Segundo Aaron Portnoy, diretor da ZDI “pela invasão completa o prêmio (para cada um) é de US$ 20 mil”. Usar uma falha do Chrome, bem como do sistema operacional no qual ele se apoia, dá US$ 10 mil para cada competidor.
E isso é só o começo. “Se a pessoa quebrar o Chrome na competição, fica associada ao navegados e a nós.”.
Talvez a maior mudança na competição, que acontece no ConSecWest entre 7 e 9 de março, seja o comprimento e a largura: não haverá mais o “fim do jogo” quando um competidor atingir uma falha zero-day no software alvo. Os vencedores serão baseados em um sistema de pontos, e não haverá invasão de dispositivos móveis.
A ZDI também irá inserir novos elementos: vulnerabilidades corrigidas nas quais os pesquisadores da empresa encontraram falhas.
Os competidores têm três dias para escrever uma exploração que funcione contra o alvo. Se conseguir invadir no primeiro dia, ganha 10 pontos; no segundo, ganha 9 pontos; se realizar a exploração no terceiro dia, ganha 8 pontos.
Uma exploração zero-day encontrada vale 32 pontos por indivíduo ou equipe, para ficar em primeiro lugar, o vencedor precisa achar pelo menos um zero-day. O primeiro lugar geral ganha US$ 60 mil, o segundo US$ 30 mil e o terceiro US$15 mil. Se invadirem o Chrome, ganham bônus de acordo com os critérios do Google.
Como em todas as outras vezes, os fornecedores afetados pela competição recebem relatório das vulnerabilidades descobertas e os vencedores ganham novos laptops, além do prêmio em dinheiro.
A ZDI postou uma descrição completa das regras aqui.
A computação quântica ainda não tem aplicação comercial em escala. A Hewlett Packard Enterprise (HPE)…
A China voltou a defender a criação de mecanismos internacionais de governança para inteligência artificial…
A SpaceX alcançou um marco importante e histórico poucos dias após sua estreia na bolsa…
A inteligência artificial já entrou no radar estratégico das empresas brasileiras, mas sua adoção ainda…
Na visão de Domingos Bruno, especialista do IT Forum Inteligência, o CIO do futuro não…
O presidente Luiz Inácio Lula da Silva apresentou a posição brasileira sobre governança digital e inteligência…