Pwn2Own - 560 tys. USD do zgarnięcia
- Antoni Steliński,
- 22.01.2013, godz. 10:49
W tegorocznej edycji słynnego konkursu hakerskiego Pwn2Own będzie w sumie do wygrania 560 tys. USD - zdecydowanie więcej, niż w którejkolwiek z poprzednich edycji. Aby zdobyć tę kwotę, uczestnicy będą musieli zaprezentować nieznane wcześniej metody łamania zabezpieczeń popularnego oprogramowania.
Warto dodać, że co najmniej w jednej z wymienionych powyżej aplikacji są znane i wciąż nie załatane błędy - chodzi o Javę. "Wygląda na to, że organizatorzy dają 20 tys. USD za darmo" - ironizuje Kostya Kortchinsky, znany specjalista ds. bezpieczeństwa, obecnie pracujący dla Microsoftu. Niewykluczone jednak, że do czasu rozpoczęcia konkursu Oracle zdoła rozwiązać ten problem - historia pokazuje, że producenci aplikacji testowanych podczas Pwn2Own krótko przed imprezą sprężają się i przygotowują aktualizacje dla swoich produktów.
Zobacz również:
Zgodnie z tradycją, konkurs rozegrany zostanie podczas konferencji CanSecWest w Vancouver, w dniach 6-8 marca. Sponsorami imprezy są HP (do którego należy firma Tipping Point) oraz Google - co jest pewnym zaskoczeniem, bo w ubiegłym roku doszło do konfliktu pomiędzy organizatorami a operatorem popularnej wyszukiwarki. Problemem okazały się zasady ujawniania informacji o błędach wykorzystywanych podczas Pwn2Own - obie strony nie zdołały się dogadać i ostatecznie Google wycofał się ze sponsoringu. Zamiast tego firma zorganizował na CanSecWest własny konkurs hakerski (Pwnium), w którym wypłaciła łącznie 120 tys. USD za wykrycie błędów w Chrome.
W tym roku zdecydowano się na powrót do korzeni w kwestii zasad - zamiast zastosowanego roku temu niejasnego i skomplikowanego systemu wyłaniania uczestników, ponownie pojawiło się zwykłe losowanie. Każdy uczestnik będzie losował miejsce w kolejce do łamania poszczególnych aplikacji - każdy ma 30 minut na pokonanie zabezpieczeń, jeśli w tym czasie nie zdąży, próbę podejmuje kolejna osoba z listy. I tak do skutku - zabawa kończy się w momencie złamania zabezpieczeń danej aplikacji.
Zasady przewidują również, ze zwycięzca w każdej z kategorii musi przekazać organizatorom pełne informacje o problemie oraz sprawnego exploita (rok temu takiego obowiązku nie było - i dlatego właśnie Google zrezygnował z udziału w konkursie).