Artikel top billede

Hacker-dyst: Vind hundredetusindvis af kroner

Hackerkonkurrencen Pwn2Own har fået en overhaling og tilbyder nu en førstepræmie på flere hundrede tusinde kroner.

Computerworld News Service: Sponsorerne bag den årlige hackerkonkurrence Pwn2Own har på dramatisk vis hævet spændingen ved i år at udlove en førstepræmie på hele 344.000 kroner, hvilket er fire gange så højt et beløb som førstepræmien i 2011.

Google vil også betydeligt øge det beløb, som selskabet vil udbetale til enhver, der formår at hacke dets browser, Chrome.

Pwn2Own vil foregå over tre dage først i marts under sikkerhedskonferencen CanSecWest i Vancouver i Canada.

Fire desktop-browsere - de nyeste versioner af Chrome, Apples Safari, Microsofts Internet Explorer og Mozillas Firefox - vil være årets mål, siger Aaron Portnoy, der er chef for sikkerhedsanalyse hos TippingPoint og som organiserer Pwn2Own.

Nyt pointsystem

I stedet for at tage et mål ud af konkurrencen, så snart det er lykkedes en deltager at hacke det - som det har været tilfældet ved tidligere Pwn2Own-konkurrencer - så vil dette års konkurrence benytte et pointsystem, så alle får mulighed for at prøve kræfter med de forskellige browseres sikkerhed.

Derudover vil der i år blive lanceret en udfordring til deltagerne om at udvikle exploits i løbet af de tre dage.

"Den første morgen under konkurrencen vil vi offentliggøre to sårbarheder per mål, der er blevet lukket, og give deltagerne et grundlæggende proof-of-concept," forklarer Portnoy.

"Hidtil har Pwn2Own aldrig rigtig fungeret som tilskuersport."

Men det skal denne nye udfordring om udvikling af angreb gerne lave om på, idet deltagerne enten enkeltvis eller i hold per hack får tildelt 10 point den første dag, ni point anden dag og otte point tredje dag.

Det er væsentligt lavere satser end de 32 point, der tildeles for hver ny 0-dagssårbarhed - sårbarheder, der ikke i forvejen er lukket - som afsløres og udnyttes ved Pwn2Own.

Men Portnoy påpeger, at den nye udfordring kan være udslagsgivende for at vinde førstepræmien, ved at man i løbet af de tre dage udvikler en eller flere angreb, hvilket føjer point til, hvad man ellers opnår fra de eventuelle 0-dagssårbarheder, man i forvejen ved, man kan udnytte.

Den nye udfordring vil dreje sig om exploits af de ældre versioner af de fire browsere, der var målene i 2011.

Således vil for eksempel Microsofts Internet Explorer 8 sandsynligvis være et af målene.

Den deltager eller det hold, der scorer flest point, vil vinde førstepræmien på 60.000 dollar - cirka 344.000 kroner - hvilket er tre gange så meget, som hvad Pwn2Own nogensinde før har udlovet i en enkelt præmie.

Andenpræmien er på 30.000 dollar - cirka 172.000 kroner - og tredjepræmien på 15.000 dollar - cirka 86.000 kroner.

Den største kontantpræmie sidste år var på 15.000 dollar, som gik til den første deltager, der var i stand til at hacke en af browserne til desktop eller mobil.

Som en yderligere ændring i årets konkurrence vil fastsættelsen af, hvornår hvilke deltagere må kaste sig over deres mål, ikke længere foregå ved lodtrækning.

Ikke fair

"Det var faktisk ikke fair for deltagerne," siger Portnoy, der påpeger, at den, der startede først, havde en væsentlig konkurrencefordel, fordi browserne blev fjernet fra konkurrencen, så snart de var blevet hacket.

"I år vil vi ikke have udpeget nogen vindere, før tredje dag er omme," tilføjer Portnoy.

Disse nye tiltag vil ifølge Portnoy også have den sidegevinst at distancere Pwn2Own fra, hvad han kalder "sensationsprægede" overskrifter.

Fordi deltagerne mødte op med 0-dagssårbarheder, de i forvejen havde opdaget, og med angreb, de i forvejen havde udviklet, var det oplagt for medierne - heriblandt Computerworld - at fokusere på, hvor utroligt hurtigt hackerne kunne bryde browsernes sikkerhed.

Google udlover igen 20.000 dollar - over 114.000 kroner - for hacking af Chrome, oplyser Portnoy.

Sidste år udlovede Google også dette beløb til den første, det lykkedes at bryde Chromes sikkerhed ved at udnytte Googles egen kode. Selskabet ville desuden betale 10.000 dollar - cirka 57.000 kroner - til enhver, der formåede at udnytte en hvilken som helst sårbarhed, for eksempel en fejl i Windows, til at bryde igennem browserens sandkasse.

I år vil Google hoste op med over 114.000 kroner til enhver, der formår at udnytte Chromes egen kode til et angreb. "Google vil betale 20.000 dollar til alle, der demonstrerer sårbarheder i Googles kode," fortæller Portnoy.

Med andre ord, hvis seks forskellige deltagere hacker Chrome ved hjælp af seks forskellige sårbarheder i Googles egen kode, så kommer søgegiganten af med knap 690.000 kroner.

Hvad Portnoy kalder et "delvist" exploit vil indbringe en deltager cirka 57.000 kroner. "Et delvist hack af Chrome udnytter en fejl i Chrome samt en fejl i styresystemet," forklarer han.

Da Chrome indeholder en såkaldt "sandkasse" - hvilket er en betegnelse for en teknik til at isolere, hvad der foregår i browseren, fra resten af styresystemet, vil et succesfuldt angreb via browseren typisk kræve, at man udnytter to eller flere sårbarheder.

Det første exploit bruges til at få angrebskoden ud af sandkassen, mens der som regel må efterfølgende exploits til for at plante malware på maskinen.

De penge, Google eventuelt kommer til at udbetale, vil være udover de tre kontantpræmier, som TippingPoint udlover.

Men det er nu slet ikke sikkert, at Google overhovedet kommer til at slippe nogen penge: Chrome er nemlig aldrig blevet hacket under Pwn2Own.

Portnoy bekræfter, at der i år ikke er andre browserproducenter, der på denne måde har udlovet ekstra præmier.

TippingPoint har netop offentliggjort de reviderede konkurrenceregler på Pwn2Owns website og vil via Twitter-kontoen @Pwn2Own_Contest offentliggøre nyheder under konkurrencen.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere