Mūsų šalies televizijoje esame įpratę matyti pačius keisčiausius ir įvairiausius konkursus. Toli nuo „1,2,3 atsakymo“ ir japonų „geltono humoro“, šiandien pramogaujame žiūrėdami dykumose salose izoliuotų įžymybių blokbusterius ar panašius dalykus.
Kasmet vyksta konkursas, kurio dažniausiai nepastebime, tačiau jis turi daug sekėjų visame pasaulyje. Tai apie "„Pwn2Own““, kur žinomiausi įsilaužėliai yra išbandomi, priverčiant juos „sugriauti“ skirtingas sistemas. Vienas iš jų uždirbo nemažą centą įsilaužęs į „Safari“ išnaudojimą.
Kiekvienais metais „Zero Day Initiative“ organizuoja įsilaužimo konkursą „Pwn2Own“, kurio metu saugumo tyrinėtojai gali užsidirbti pinigų ieškodami rimtų pažeidžiamumų pagrindinėse platformose, pvz., „Windows“ ir „MacOS“.
Šis virtualus renginys „Pwn2Own 2021“ prasidėjo anksčiau šią savaitę ir buvo pristatytas 23 įsilaužimo bandymai suskirstyti į 10 skirtingų produktų, įskaitant žiniatinklio naršykles, virtualizaciją, serverius ir pan. Konkursas, trunkantis kelias valandas per dieną tris dienas iš eilės, tiesiogiai transliuojamas „YouTube“.
Šiame konkurse Apple sistemos nebuvo smarkiai atakuojamos, tačiau pirmąją dieną Džekas pasimatymai iš RET2 Systems paleido „Safari“ išnaudojimą „iki branduolio nulinės dienos“ ir įgijo JAV doleris 100.000. Naudojo sveikojo skaičiaus perpildymą „Safari“ ir OOB rašymą, kad būtų vykdomas branduolio lygio kodas, kaip patvirtina Čivināšana organizacijos.
Sveikiname Džeką! Vieno spustelėjimo „Apple Safari“ nuleidimas į branduolio nulinę dieną adresu # Pwn2Own 2021 m. RET2 vardu: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs
– RET2 sistemos (@ret2systems) Balandis 6, 2021
Buvo nulaužtas ne tik „Safari“.
Kiti bandymai įsilaužti per „Pwn2Own“ renginį buvo nukreipti į „Microsoft Exchange“, „Parallels“, „Windows 10“, „Microsoft Teams“, „Ubuntu“, „Oracle VirtualBox“, „Zoom“, „Google Chrome“ ir „Microsoft Edge“, tačiau daugiau ar mažiau sėkmingai.
Pavyzdžiui, olandų tyrinėtojai Daanas Keuperis ir Thijsas Alkemade'as įrodė rimtą saugumo trūkumą Padidinti. Duetas išnaudojo tris trūkumus, kad įgytų visišką tikslinio kompiuterio kontrolę naudodami „Zoom“ programą be vartotojo sąveikos.
Pwn2Own dalyviai gavo daugiau nei 1,2 mln atlygis už atrastas klaidas. „Pwn2Own“ suteikia pardavėjams, pvz., „Apple“, 90 dienų aptiktų spragų pataisymui, todėl galime tikėtis, kad klaida bus pašalinta būsimame atnaujinime.
