Artikel top billede

Hacker-dyst: Vind hundredetusindvis af kroner

Hackerkonkurrencen Pwn2Own har fået en overhaling og tilbyder nu en førstepræmie på flere hundrede tusinde kroner.

Computerworld News Service: Sponsorerne bag den årlige hackerkonkurrence Pwn2Own har på dramatisk vis hævet spændingen ved i år at udlove en førstepræmie på hele 344.000 kroner, hvilket er fire gange så højt et beløb som førstepræmien i 2011.

Google vil også betydeligt øge det beløb, som selskabet vil udbetale til enhver, der formår at hacke dets browser, Chrome.

Pwn2Own vil foregå over tre dage først i marts under sikkerhedskonferencen CanSecWest i Vancouver i Canada.

Fire desktop-browsere - de nyeste versioner af Chrome, Apples Safari, Microsofts Internet Explorer og Mozillas Firefox - vil være årets mål, siger Aaron Portnoy, der er chef for sikkerhedsanalyse hos TippingPoint og som organiserer Pwn2Own.

Nyt pointsystem

I stedet for at tage et mål ud af konkurrencen, så snart det er lykkedes en deltager at hacke det - som det har været tilfældet ved tidligere Pwn2Own-konkurrencer - så vil dette års konkurrence benytte et pointsystem, så alle får mulighed for at prøve kræfter med de forskellige browseres sikkerhed.

Derudover vil der i år blive lanceret en udfordring til deltagerne om at udvikle exploits i løbet af de tre dage.

"Den første morgen under konkurrencen vil vi offentliggøre to sårbarheder per mål, der er blevet lukket, og give deltagerne et grundlæggende proof-of-concept," forklarer Portnoy.

"Hidtil har Pwn2Own aldrig rigtig fungeret som tilskuersport."

Men det skal denne nye udfordring om udvikling af angreb gerne lave om på, idet deltagerne enten enkeltvis eller i hold per hack får tildelt 10 point den første dag, ni point anden dag og otte point tredje dag.

Det er væsentligt lavere satser end de 32 point, der tildeles for hver ny 0-dagssårbarhed - sårbarheder, der ikke i forvejen er lukket - som afsløres og udnyttes ved Pwn2Own.

Men Portnoy påpeger, at den nye udfordring kan være udslagsgivende for at vinde førstepræmien, ved at man i løbet af de tre dage udvikler en eller flere angreb, hvilket føjer point til, hvad man ellers opnår fra de eventuelle 0-dagssårbarheder, man i forvejen ved, man kan udnytte.

Den nye udfordring vil dreje sig om exploits af de ældre versioner af de fire browsere, der var målene i 2011.

Således vil for eksempel Microsofts Internet Explorer 8 sandsynligvis være et af målene.

Den deltager eller det hold, der scorer flest point, vil vinde førstepræmien på 60.000 dollar - cirka 344.000 kroner - hvilket er tre gange så meget, som hvad Pwn2Own nogensinde før har udlovet i en enkelt præmie.

Andenpræmien er på 30.000 dollar - cirka 172.000 kroner - og tredjepræmien på 15.000 dollar - cirka 86.000 kroner.

Den største kontantpræmie sidste år var på 15.000 dollar, som gik til den første deltager, der var i stand til at hacke en af browserne til desktop eller mobil.

Som en yderligere ændring i årets konkurrence vil fastsættelsen af, hvornår hvilke deltagere må kaste sig over deres mål, ikke længere foregå ved lodtrækning.

Ikke fair

"Det var faktisk ikke fair for deltagerne," siger Portnoy, der påpeger, at den, der startede først, havde en væsentlig konkurrencefordel, fordi browserne blev fjernet fra konkurrencen, så snart de var blevet hacket.

"I år vil vi ikke have udpeget nogen vindere, før tredje dag er omme," tilføjer Portnoy.

Disse nye tiltag vil ifølge Portnoy også have den sidegevinst at distancere Pwn2Own fra, hvad han kalder "sensationsprægede" overskrifter.

Fordi deltagerne mødte op med 0-dagssårbarheder, de i forvejen havde opdaget, og med angreb, de i forvejen havde udviklet, var det oplagt for medierne - heriblandt Computerworld - at fokusere på, hvor utroligt hurtigt hackerne kunne bryde browsernes sikkerhed.

Google udlover igen 20.000 dollar - over 114.000 kroner - for hacking af Chrome, oplyser Portnoy.

Sidste år udlovede Google også dette beløb til den første, det lykkedes at bryde Chromes sikkerhed ved at udnytte Googles egen kode. Selskabet ville desuden betale 10.000 dollar - cirka 57.000 kroner - til enhver, der formåede at udnytte en hvilken som helst sårbarhed, for eksempel en fejl i Windows, til at bryde igennem browserens sandkasse.

I år vil Google hoste op med over 114.000 kroner til enhver, der formår at udnytte Chromes egen kode til et angreb. "Google vil betale 20.000 dollar til alle, der demonstrerer sårbarheder i Googles kode," fortæller Portnoy.

Med andre ord, hvis seks forskellige deltagere hacker Chrome ved hjælp af seks forskellige sårbarheder i Googles egen kode, så kommer søgegiganten af med knap 690.000 kroner.

Hvad Portnoy kalder et "delvist" exploit vil indbringe en deltager cirka 57.000 kroner. "Et delvist hack af Chrome udnytter en fejl i Chrome samt en fejl i styresystemet," forklarer han.

Da Chrome indeholder en såkaldt "sandkasse" - hvilket er en betegnelse for en teknik til at isolere, hvad der foregår i browseren, fra resten af styresystemet, vil et succesfuldt angreb via browseren typisk kræve, at man udnytter to eller flere sårbarheder.

Det første exploit bruges til at få angrebskoden ud af sandkassen, mens der som regel må efterfølgende exploits til for at plante malware på maskinen.

De penge, Google eventuelt kommer til at udbetale, vil være udover de tre kontantpræmier, som TippingPoint udlover.

Men det er nu slet ikke sikkert, at Google overhovedet kommer til at slippe nogen penge: Chrome er nemlig aldrig blevet hacket under Pwn2Own.

Portnoy bekræfter, at der i år ikke er andre browserproducenter, der på denne måde har udlovet ekstra præmier.

TippingPoint har netop offentliggjort de reviderede konkurrenceregler på Pwn2Owns website og vil via Twitter-kontoen @Pwn2Own_Contest offentliggøre nyheder under konkurrencen.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Keybalance A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere