Pwn2Own: مسابقات هک با 645 هزار دلار جایزه

شرکت HP برگزار کننده مسابقات Pwn2Own امسال 645 هزار دلار به افراد و گروه هایی که بتوانند با سوءاستفاده موفق از نقاط ضعف ناشناخته و جدیدی که کشف کرده اند، مشهورترین مرورگرها و رایج ترین افزونه ها (Plug-ins) را به زانو درآورند، جایزه اختصاص داده است.

بخش امنیتی Tipping Point در شرکت HP طرح پاداشی به نام Zero Day Initiative یا ZDI دارد که براساس آن به افراد و گروه هایی که بتوانند نقاط ضعف امنیتی جدید و تا بحال ناشناخته را در محصولات نرم افزاری مختلف کشف و شناسایی کنند، جایزه و پاداش می دهد.

مسابقات هک Pwn2Own هر سال همزمان با برگزاری کنفرانس امنیتی CanSeeWest اجرا می شوند. شرکت Google نیز علاوه بر مشارکت 25 درصدی در جوایز این مسابقات، خود مستقلا نیز اقدام به برگزاری مسابقات هک به نام Pwnium می کند که فقط متمرکز بر محصولات مبتنی بر سیستم Google Chrome می باشد.

در مسابقات هک امسال، 100 هزار دلار جایزه برای نفوذ به مرورگر Chrome و 11 IE اختصاص داده شده است. همچنین نفوذ به مرورگر Safari حدود 65 هزار دلار و مرورگر Firefox حدود 50 هزار دلار جایزه دارند. به علاوه، سوءاستفاده از نقاط ضعف جدید و ناشناخته در محصولات Adobe Flash و Acrobat Reader و نفوذ موفق به این محصولات، هر یک 75 هزار دلار جایزه به همراه دارند.

امسال برای اولین بار یک جایزه بزرگ 150 هزار دلاری نیز در نظر گرفته شده است. برای به دست آوردن این جایزه بزرگ باید با داشتن سه نقطه ضعف جدید در سیستم عامل Windows 8.1، ابتدا به مرورگر 11 IE نفوذ کرده، از آنجا راهکار امنیتی Sandbox مرورگر را دور زده و به سیستم عامل دسترسی پیدا کرد. سپس بر روی سیستم عامل، مجوزهای لازم برای اجرای هر نوع فرمانی را به دست آورد. در تمام این مراحل نیز ابزار امنیتی EMET یا Enhanced Mitigation Experience Toolkit در سیستم عامل باید فعال باشد.

ابزار امنیتی EMET قادر است امکانات امنیتی سیستم عامل Windows، نظیر ASLR و DEP، را برای هر برنامه کاربردی که مورد تهدید قرار گیرد، فعال کند. امکان امنیتی ASLR مانع از ایجاد حالت “سرریز حافظه” (Buffer Overflow) می شود و امکان امنیتی DEP نیز مانع امکان اجرای برنامه های غیرمجاز بر روی سیستم عامل می گردد. 

مسابقات هک Pwn2Own ماه آینده در کشور کانادا برگزار خواهد شد.