惠普公司的“零日”计划为今年3月的黑客竞赛“Pwn2Own”制定了规则,该竞赛将为能够破解最大的浏览器和最流行的插件的研究人员提供100万美元奖金的三分之二。
昨天,惠普的“零日行动”(ZDI)公布了其3月份黑客竞赛Pwn2Own的规则,该竞赛将为能够攻击最大浏览器和最流行插件的研究人员提供100万美元奖金的三分之二。
ZDI是惠普的漏洞奖励计划,由其TippingPoint部门运行。TippingPoint是一家为企业网络开发入侵预防系统(IPS)和防火墙设备的公司。
2014年版的Pwn2Own将提供64.5万美元的潜在奖励,奖励那些利用谷歌的Chrome、Mozilla的Firefox、微软的IE (IE)或苹果的Safari浏览器、Adobe Reader、Adobe Flash或Oracle Java浏览器插件等未知漏洞的黑客。
这些目标也是去年挑战的焦点。
奖项将按浮动时间表发放,第一个攻击Windows 8.1上的Chrome或IE11的人将获得10万美元奖金。对Adobe Flash或运行在IE11上的Reader的支付将降至7.5万美元,然后再通过其他目标,最终为Java支付3万美元。利用Safari(65,000美元)和Firefox(50,000美元)也将获得奖励。
一个新的150000美元的奖金也将岌岌可危的惠普称之为“利用独角兽,”multi-exploit字符串能够不仅黑客IE11 Windows 8.1,而且还获得系统级代码执行当微软的增强减灾经验工具包(EMET),手动工具,使anti-exploit技术,如本主题(地址空间布局随机化)和管理(数据执行预防)为特定的应用程序,启用。
“我们试图突出世界上最优秀的研究人员的实力,”ZDI的脆弱性研究经理Brian Gorenc在周五的一次采访中提到这个大奖时说。“我们知道研究人员正在研究这个[EMET],我们想让它变得更加困难。”
为了获得这15万美元,研究人员必须绕过IE11的“沙箱”(一种将浏览器与操作系统的其他部分隔离的防御技术),然后利用至少一个额外的漏洞来获得系统访问权限——所有这些都要在EMET运行的同时进行。
虽然Gorenc承认的EMET部分人为障碍,旨在让剥削更加困难,有一些方法的疯狂:微软日益EMET安营,甚至个人用户,作为权宜之计防御用的时间之间的新漏洞被发现和修补漏洞。
Pwn2Own已经举办了八年,将于3月12日至13日在不列颠哥伦比亚省温哥华举行的CanSecWest安全会议上举行。谷歌也将运行its自己的Pwnium比赛Pwn2Own将获得25%的奖金。
今年的Pwn2Own将再次采用随机抽取的方式来选择研究人员对付目标的顺序。每个研究人员或研究团队将有30分钟来演示他们的利用。如果成功,奖金将会发放,而那些没有得到有利抽签结果的研究人员将会失去运气。
他说:“#Pwn2own的随机抽取规则今年又回来了,这是一条非常糟糕的规则,去年取消了,所有的Pwn2own员工都可以随意抽取。Chaouki Bekrar法国脆弱性研究实验室的首席执行官,零日卖家Vupen昨天在推特上写道。
实际上,Pwn2Own曾在2013年使用过抽奖,但在挑战期间,奖金池扩大了,给每一个成功开发的人都提供了中奖奖金,结果有几个人因黑客攻击Java而每人获得了2万美元。
Gorenc说,同样的情况可能会在今年的比赛中发生,这取决于有多少人报名参加比赛。
近年来,Pwn2Own一直被一些有损个人利益的团队所主导,这些团队无法与装备精良的团队竞争,比如来自Vupen的团队,去年他们因入侵IE10、Firefox、Flash和Java而获得了25万美元的奖金。
“我在想,除了我之外,还有谁赢得了pwn2own, @dinodaizovi和@nils?查理•米勒他曾四次赢得Pwn2Own的冠军,最近一次是在2011年。“如果(在我看来)是团队合作,那就太没意思了。”
赢家,另一个人Peter Vreugdenhil在2010年赚了1万美元他现在为Exodus Intelligence公司工作,该公司包括曾经营Pwn2Own的Aaron Portnoy。去年还有几个人通过黑客攻击Adobe Reader和甲骨文的Java而单独获奖。
戈伦克不同意米勒的观点,并驳斥了团队,尤其是像Vupen这样的大团队扭曲了比赛的观点。“每年,我们都会坐下来思考如何让Pwn2Own变得更有趣,”Gorenc说。“去年,我们考虑了(个人对团队),但只进行了一场比赛。如果人们想要联合起来分享奖金,那就由他们自己决定。”
2013年的总支出是a创纪录的480000美元。
Bekrar还批评了“独角兽开发挑战赛”,认为如果需要三个不同的零日漏洞才能获胜,那么15万美元的奖金是不够的。“独角兽奖励是无用的,因为它需要燃烧3天:IE +沙盒绕过+内核开发,而2天就足够了,”他说推特。
根据Gorenc的说法,大奖没有最低三个漏洞。Gorenc说:“如果他们能在短短两年内完成,并且遵守规则,我们很乐意给他们颁奖。”
TippingPoint和它的ZDI bounty计划自2007年开始就赞助或共同赞助了Pwn2Own。在研究人员提交了他们用来攻击目标的漏洞和他们的攻击代码之后,ZDI确认了结果,然后将信息传递给相关的供应商,这些供应商通常都有代表在现场,随时准备进行修补。
Gorenc说:“对我们来说,这场比赛有很多好处。“我们了解并修复了现有的利用技术和漏洞,我们为客户部署了保护措施。这对我们来说很有价值。”
惠普发表了2104年Pwn2Own全球规则,并将在比赛期间通过aTwitter帐户和博客。
格雷格Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer,在Google +或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
看到更多信息由Gregg Keizer在Computerworld.com上发布。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞主题中心。
这篇文章,“Pwn2Own黑客大赛将创纪录的64.5万美元放在奖台上”最初由《计算机世界》 。