در مسابقه هک Pwn2Own جایزه ها درو شدند
هشتمین دوره مسابقات نفوذ (Hack) به نام Pwn2Own همزمان با برگزاری کنفرانس امنیتی CanSec West در ونکوور کانادا بر پا شد.
مسابقات Pwn2Own به ابتکار شرکت امنیتی Tipping Point وابسته به شرکت HP و با حمایت های مالی شرکت هایی نظیر Google برگزار می شود. در این مسابقات امنیتی انواع مرورگرها، سیستم های عامل و نرم افزارهایی همچون Adobe Reader، Flash Player و Java به آزمون گذاشته می شوند.
این دوره از مسابقات طی سه روز در روزهای 16 الی 18 اسفند ماه، برگزار شده و صدها هزار دلار نصیب کارشناسان و شرکت های امنیتی که موفق به شکستن لایه ها و دیواره های امنیتی انواع محصولات نرم افزاری شدند، گردید.
شرکت فرانسوی Vupen که در زمینه کشف و شناسایی نقاط ضعف امنیتی فعالیت می کند و کشفیات خود را به فروش می رساند، در این مسابقات موفق شد که به مرورگر IE10 مایکروسافت نفوذ کند و 100 هزار دلار جایزه بگیرد.
این شرکت همچنین توانست مرورگر Firefox 19 را به زانو درآورد و 60 هزار دلار نیز از این بابت کسب کند. بعد از آن نیز نوبت Flash Player و Adobe Reader بود که هر یک 70 هزار دلار دیگر برای شرکت Vupen به ارمغان بیاورند. با استفاده همزمان از سه نقطه ضعف در Flash Player، این نرم افزار به تسخیر و کنترل کارشناسان Vupen در آمد.
شرکت امنیتی MWR Labs نیز توانست مرورگر Chrome 25 را بر روی سیستم عامل Windows 7 هک کند. برای این کار از چندین نقطه ضعف جدید و تا به حال ناشناخته در مرورگر Chrome و سیستم عامل Windows به طور همزمان استفاده شد. این موفقیت 100 هزار دلار پاداش برای دو کارشناس این شرکت به همراه داشت.
دو محقق مستقل نیز هر یک به تنهایی نرم افزار Java را هک کرده و 20 هزار دلار جایزه برنده شدند.
دریافت کنندگان این جوایز نقدی موظف و متعهد هستند که اطلاعات کامل درباره نحوه نفوذ به این محصولات و نقاط ضعف کشف شده را در اختیار تولیدکنندگان این محصولات نرم افزاری بگذارند. همچنین امسال اعلام شد که نقاط ضعف کشف و معرفی شده در این مسابقات که موفق به کسب جایزه نشده اند، توسط شرکت HP Tipping Point خریداری خواهد شد.
به فاصله چند ساعت پس از هک شدن مرورگرهای Chrome و Firefox، شرکت Google و موسسه Mozilla نقاط ضعف مورد استفاده در این عملیات هک را ترمیم و برطرف نمودند. نقاط ضعف مورد سوء استفاده برای هک کردن مرورگر IE10 همچنان باقی هستند و به نظر نمی رسد که شرکت مایکرسافت عجله ای برای ترمیم آنها داشته باشد.
تنها جایزه ای که کسی موفق به دریافت آنها نشد، جایزه 65 هزار دلاری برای نفوذ به سیستم عامل Mac OSX نسخه Mountain Lion بود.
شرکت Google نیز به تنهایی یک مسابقه نفوذ به نام Pwnium 3 برگزار کرد که ویژه سیستم عامل Google Chrome OS بود و کل مبلغ جایزه بیش از 3 میلیون دلار تعیین شده بود. قرار بود شرکت Google براساس نوع نقاط ضعفی که در سیستم عامل Chrome OS کشف می شوند، جوایزی پرداخت کند که می توانست تا 150 هزار دلار برای یک نفر هم باشد. ولی مسئولان Google کار هیچکس را مستحق دریافت جایزه ندانستند و تنها اعلام کردند که برخی موارد را برررسی کرده و شاید جوایز کوچکی برای آنها در نظر گرفته شود.
این هشتمین دوره از مسابقات PwznOwn است که برگزار می شود ولی اعطای بیش از نیم میلیون دلار جایزه، تا به حال بی سابقه بوده است.
تمام کارشناسان امنیتی که در این مسابقات شرکت کرده و موفق به عبور از قابلیت های امنیتی محصولات نرم افزاری مختلف شده و به آنها نفوذ کرده اند، اذعان می دارند که پیشرفت های چشمگیری در زمینه تامین امنیت این محصولات صورت گرفته و امروزه تحقیق و کشف یک نقطه ضعف امنیتی به آسان و ارزانی سال های قبل نیست.
