K dispozícii je tiež hardvér, ako je špičkový notebook, ktorý možno vyhrať, a body Zero Day Initiative, ktoré dávajú víťazom dodatočné hotovostné platby a bonusy, keď odosielanie budúcich zraniteľností prostredníctvom iniciatívy TippingPoint Zero Day Initiative, ako aj platené cestovanie a registrácia na hacking Las Vegas DEFCON konferencie. Avšak sektor mobilných telefónov mal tento rok leví podiel na peniazoch so 60 000 dolármi. na ceny za prelomenie bezpečnosti zariadení iPhone, BlackBerry Bold 9700, Nokia E72 a Google Nexus Jeden.
Pwn2Own doslova práve skončil, keď som sa dostal ku konečnej úprave tohto stĺpca a môžem to oznámiť boli odhalené štyri nové kritické zraniteľnosti, ktoré ovplyvňujú Internet Explorer 8, Firefox a Safari. Ako sa očakávalo, Chrome sa opäť vracia domov ako víťaz v stávkach v zabezpečenom prehliadači, pretože sa nikomu nepodarilo úspešne ho zneužiť. Jeho sandboxing zabránil fungovaniu akýchkoľvek v súčasnosti známych techník.
Mobilné telefóny prešli bez ujmy na fronte operačného systému, v neposlednom rade preto, že sú tak obmedzené v pamäti a výpočtovom výkone, že to obmedzuje rozsah exploitov, ktoré je možné nasadiť. Mobilné prehliadače vyzerajú trochu neisto, čoho príkladom je 20-sekundový hack na iPhone, ale mobilné platformy ako celok obstoja dobre. Obávam sa, že situácia sa zmení po Pwn2Own 2011, kedy bude zdokonalený akýkoľvek počet „Micro Exploit Vectors“.
Ukáž mi peniaze
Niet pochýb o tom, že Pwn2Own vytvára stimuly pre hackerov, finančné aj z hľadiska úcty. a celebrity, ale opäť sa musíte pozrieť za titulky, aby ste pochopili skutočnú pravdu o veci.
Pre začiatočníkov, ponúkaný druh peňazí je rádovo nižší ako niekto s technickými zručnosťami, ktoré sa na tomto súťaž by mohla očakávať realizáciu, ak by tieto zručnosti preniesli na trh s počítačovou kriminalitou a vstúpili do temného sveta profesionálneho black-hat hackermi. Namiesto toho títo chlapci (a dievčatá, pozoruhodne, hoci sa zdá, že hackovanie na tejto úrovni stále ovládajú muži) robia, je predvádzanie zručnosti z dôvodov, ako je chvála medzi rovesníkmi, demonštrovanie schopností potenciálnym zamestnávateľom a „len preto, že môžu“, bez priamej pomoci zlým chlapi.
Možno sa pýtate, ako môžem ja, niekto so záujmom o bezpečnostný sektor, zaujať taký uvoľnený postoj. Pretože ďalšia vec, ktorú menej informovaní mediálni komentátori Pwn2Own zvyčajne nespomínajú, je, že peňažné ceny, ktoré ponúka organizátor podujatia TippingPoint, sú tiež ako platbu za vlastníctvo úplného kódu všetkých víťazných exploitov a tento kód je potom sprístupnený spoločnosti, ktorej produkt bol napadnutý súťaž.
Samotný kód nie je nikdy zverejnený, a tak nie je dostupný pre zlých ľudí, ale namiesto toho je sprístupnený dobrým. Keď predajca upchá túto bezpečnostnú dieru, potom a až potom spoločnosť TippingPoint zverejní podrobnosti o zraniteľnosti. Táto schéma, spolu s celou iniciatívou Zero Day Initiative, ktorú založil TippingPoint, je rovnako dobrým spôsobom ako každý iný spôsob, ako odmeniť bezpečnostných výskumníkov za zodpovedné odhalenie zraniteľností.
Som si dobre vedomý dvoch zrejmých námietok, ktoré by mohli byť vznesené: že hackeri to mohli spoločnostiam povedať bez toho, aby sa predtým zapojili do súťaže; a že skutoční zlí ľudia majú šancu vypracovať si to sami z tých podrobností o zneužití, ktoré sa nakoniec zverejnia. Títo zlí chlapci však teraz pracujú s nevýhodou načasovania, ktorá umožnila spoločnostiam Apple, Microsoft, Google, Mozilla alebo komukoľvek, aby vytvorili opravu dlho predtým, ako mohli vytvoriť svoj vlastný exploit.
