A competição anual de invasores Pwn2Own será mais uma maratona do que uma corrida de cem metros. O patrocínio da HP/TippingPoint DVLabs alavancou o prestígio da competição ao aumentar os obstáculos.
Há apenas quatro alvos na competição desse ano, e todos são navegadores: Microsoft Internet Explorer, Moxilla Firefox, Google Chorme e Apple Safari. Diferentemente dos anos passados, não será uma corrida de zero-day, mas por sistemas de pontos com desafios específicos, e primeiro, segundo e terceiro lugares ganharão prêmios que totalizam US$ 105 mil para os três ganhadores da competição ou times.
O Google também oferece dois prêmios bônus para invasão completa ou parcial do Chrome. A completa significa usar falhas no código de execução do Chrome “um-sandboxed”. Segundo Aaron Portnoy, diretor da ZDI “pela invasão completa o prêmio (para cada um) é de US$ 20 mil”. Usar uma falha do Chrome, bem como do sistema operacional no qual ele se apoia, dá US$ 10 mil para cada competidor.
E isso é só o começo. “Se a pessoa quebrar o Chrome na competição, fica associada ao navegados e a nós.”.
Talvez a maior mudança na competição, que acontece no ConSecWest entre 7 e 9 de março, seja o comprimento e a largura: não haverá mais o “fim do jogo” quando um competidor atingir uma falha zero-day no software alvo. Os vencedores serão baseados em um sistema de pontos, e não haverá invasão de dispositivos móveis.
A ZDI também irá inserir novos elementos: vulnerabilidades corrigidas nas quais os pesquisadores da empresa encontraram falhas.
Os competidores têm três dias para escrever uma exploração que funcione contra o alvo. Se conseguir invadir no primeiro dia, ganha 10 pontos; no segundo, ganha 9 pontos; se realizar a exploração no terceiro dia, ganha 8 pontos.
Uma exploração zero-day encontrada vale 32 pontos por indivíduo ou equipe, para ficar em primeiro lugar, o vencedor precisa achar pelo menos um zero-day. O primeiro lugar geral ganha US$ 60 mil, o segundo US$ 30 mil e o terceiro US$15 mil. Se invadirem o Chrome, ganham bônus de acordo com os critérios do Google.
Como em todas as outras vezes, os fornecedores afetados pela competição recebem relatório das vulnerabilidades descobertas e os vencedores ganham novos laptops, além do prêmio em dinheiro.
A ZDI postou uma descrição completa das regras aqui.
SpaceX, Anthropic e OpenAI estão no radar de Wall Street para possíveis aberturas de capital…
por Eduardo Honorato Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro…
A adoção de inteligência artificial (IA) nas empresas não depende apenas da disponibilidade de ferramentas.…
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…