Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Pwn2Own Toronto: 54 Hacks, 63 neue Bugs, Kopfgelder in Höhe von 1 Million Dollar

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 120
by Paul Ducklin

Davon haben Sie wahrscheinlich schon gehört Pwn2Own, ein Hacking-Wettbewerb, der neben der jährlichen CanSecWest-Cybersicherheitsveranstaltung in Vancouver, Kanada, ins Leben gerufen wurde.

Pwn2Own ist jetzt eine eigene Marke von mehreren Millionen „Hackern“, die von der Antivirenfirma Trend Micro aufgekauft und erweitert wurde, um viel mehr Arten von Fehlern als nur Browser und Desktop-Betriebssysteme abzudecken.

Der Name, falls Sie sich fragen, ist eine Abkürzung für „pwn it to own it“, wo pwn (ausgesprochen „pone“) ist Hackersprache für „übernimm die Kontrolle durch Ausnutzen einer Sicherheitslücke“ und besitzen bedeutet wörtlich „Rechtstitel haben“.

Einfach ausgedrückt: Hacken Sie hinein und Sie können es mit nach Hause nehmen.

Tatsächlich sogar in der Pwn2Own Toronto 2022-Wettbewerb, bei dem die Barbeträge der Preise den Wert der zu hackenden Geräte bei weitem überstiegen, konnten die Gewinner das eigentliche Kit, in das sie einbrachen, mit nach Hause nehmen, wodurch der ursprüngliche, wörtliche Sinn des Wettbewerbs erhalten blieb.

Selbst wenn Sie gerade 100,000 US-Dollar dafür gewonnen haben, dass Sie sich in einen Netzwerkdrucker gehackt haben, indem Sie sich zuerst durch einen Kleinunternehmensrouter gehackt haben (wie es dem Team gelang, das an der Spitze der Gesamtbestenliste landete), ist es das, die eigentlichen Geräte mit nach Hause zu nehmen eine ordentliche Erinnerung an eine gut gemachte Arbeit.

Wenn Forscher heutzutage Hardware wie Router oder Drucker mit eigenen Displays oder blinkenden Lichtern hacken, beweisen sie ihre Fähigkeiten mit amüsanten Nebeneffekten wie Morsecode-Nachrichten über LEDs oder der Anzeige memetischer Videos wie a Berühmtes Lied von einem berühmten Popsänger der 1980er. Das gehackte Gerät fungiert somit als eigene historische Dokumentation.

Hacken (die gute Sorte)

Wir haben oben „gut gemachte Arbeit“ gesagt, denn obwohl Sie wie ein Cyberkrimineller denken müssen, um bei Pwn2Own zu gewinnen, versuchen Sie doch, einen voll funktionsfähigen Remote-Code-Execution-Angriff zu generieren, von dem ein Gauner gerne erfahren würde. und um dann zu zeigen, wie Ihr Angriff gegen ein aktuelles und vollständig gepatchtes System funktioniert …

…das ultimative Ziel eines erfolgreichen „Angriffs“ ist eine verantwortungsbewusste Offenlegung und damit eine bessere Verteidigung für alle.

Um am Wettbewerb teilzunehmen und einen Preis zu gewinnen, stimmen Sie zu, nicht nur Ihren Exploit-Code an den oder die Geräteanbieter zu übergeben, die das Preisgeld bereitstellen, sondern auch ein Whitepaper bereitzustellen, das den Exploit ausführlich erklärt das wird dem Anbieter helfen, es schnell und (wie Sie hoffen) zuverlässig zu patchen.

Das Pwn2Own zum Jahresende ist eine Art Wanderveranstaltung, die an so weit voneinander entfernten Orten wie Aoyama in Tokio, Amsterdam in den Niederlanden und Austin in Texas stattfand.

Es war ursprünglich als „Mobiltelefon“-Version von Pwn2Own bekannt, aber die Veranstaltung in Toronto 2022 lud die Teilnehmer ein, in sechs Hauptkategorien zu hacken, von denen nur eine Mobiltelefone umfasste.

Die von ihren Anbietern vorgeschlagenen Geräte und das Preisgeld für erfolgreiche Hacks sahen folgendermaßen aus:

EIN TELEFON HACKEN ... UND GEWINNEN: Samsung Galaxy S22 $ 50,000 Google Pixel 6 $ 200,000 Apple iPhone 13 $ 200,000 EINEN SOHO-ROUTER HACKEN ... UND GEWINNEN: TPLink AX1800 $ 20,000 ($ 5000 wenn über LAN) NETGEAR RAX30 $ 20,000 ($ 5000 wenn über LAN) Synology RT6600ax $ 20,000 (5000 $, wenn über LAN) Cisco C921-4P 30,000 $ (15,000 $, wenn über LAN) Microtik RB2011 30,000 $ (15,000 $, wenn über LAN) Ubiquiti EdgeRouter 30,000 $ (15,000 $, wenn über LAN) HACK A HOME HUB... UND GEWINNE: Meta Portal Go 60,000 $ Amazon Echo Show 15 60,000 $ Google Nest Hub Max 60,000 $ HACK EINEN NETZWERKDRUCKER.. UND GEWINNE: HP Color LaserJet Pro 20,000 $ Lexmark MC3224 20,000 $ Lexmark MC3224i 20,000 $ Canon imageClass MF743Cdw 20,000 $ HACK EINEN LAUTSPRECHER.. UND GEWINNE: Sonos One Home Speaker 60,000 $ Apple HomePod Mini,60,000 $ Amazon Echo Studio 60,000 $ Google Nest Studio 60,000 $ HACK EINE NAS-BOX... UND GEWINNE: Synology DiskStation 40,000 $ WD My Cloud Pro PR4100 40,000 $

Bei der diesjährigen Veranstaltung haben sich die Organisatoren für Extra-Aufregung-Hacks entschieden Smashups – ein bisschen wie ein Baseballteam, das im Voraus zustimmt, dass jedes Double Play (zwei Outs auf einmal) im nächsten Inning sofort als drei Outs zählt und das Inning beendet … aber mit dem Nachteil, dass Single Outs alleine nicht zählen überhaupt.

Smashups waren auf einmal bis zu 100,000 US-Dollar wert, aber Sie mussten Ihre Absicht im Voraus erklären und dann eines der Netzwerkgeräte hacken, indem Sie zuerst durch den Router einbrechen, gefolgt von schwenkbar (im Fachjargon) direkt vom Router ins interne Gerät.

Den Router über das WAN zu hacken und dann separat beispielsweise einen der Drucker zu hacken, würde nicht als Smashup gelten – man musste sich vorher auf die All-in-One-Kette festlegen.

Wenn Sie den Router verpassen, hätten Sie nicht einmal eine Chance am Drucker; den Router zu hacken, aber den Drucker zu verpassen, und Sie würden verlieren, was Sie sonst hätten gewinnen können, wenn Sie den Router alleine pwnen würden.

Am Ende entschieden sich acht verschiedene Forscherteams, sich auf die Superbounties zu konzentrieren, die durch Smashups erhältlich sind …

… und sechs von ihnen gelang es, durch den Router und dann auf einen Drucker zu gelangen.

Nur eines der Smashup-Teams zielte im Inneren auf etwas anderes als einen Drucker. Das Qrious-Sicherheit Duo aus Vietnam versuchte sich über einen NETGEAR-Router am NAS von Western Digital, erreichte sein Ziel jedoch nicht innerhalb der 30-Minuten-Grenze, die durch die Wettbewerbsregeln vorgeschrieben war.

Und die Gewinner waren…

Um dem Wettbewerb ein Poker-ähnliches Glückselement hinzuzufügen und Streitigkeiten darüber zu vermeiden, wer die meiste Anerkennung verdient, wenn zwei Teams zufällig denselben Fehler finden, gehen die Teams in einer zufällig festgelegten Reihenfolge in die Fledermaus.

Einfach ausgedrückt: Wenn sich zwei Teams irgendwo in ihrem Angriff auf denselben Fehler verlassen, erhält dasjenige, das zuerst ging, den vollen Geldpreis.

Alle anderen, die denselben Fehler verwenden, erhalten dieselben Ranglistenpunkte, aber nur 50 % der Geldprämie.

Infolgedessen verdienen die Gesamtsieger nicht unbedingt das meiste Geld – so wie man bei der Tour de France zum Gesamtsieg radeln kann, ohne jemals eine Einzeletappe zu gewinnen.

Dieses Jahr wird die Meister von Pwn (Die Erstplatzierten bekommen ein Siegertrikot, aber im Gegensatz zu Le Tour ist es nicht gelb und technisch gesehen eine Jacke) hat mit 142,000 US-Dollar das meiste Geld gewonnen.

Aber der STAR Labs Das Team aus Singapur, das in der Gesamtwertung knapp hinter den Medaillen auf dem vierten Platz landete, hatte das glückliche Mitgefühl, den nächsthöheren Gehaltsscheck mit 97,500 US-Dollar mit nach Hause nehmen zu können.

Falls Sie sich fragen, die ersten drei Plätze wurden von Unternehmensteams erstellt, für die Fehlersuche und Penetrationstests ein Tagesgeschäft sind:

1. DEVCORE (18.5 Ranglistenpunkte plus 142,000 $). Dieses Team arbeitet für ein taiwanesisches Red-Teaming- und Cybersicherheitsunternehmen, dessen offizielle Website Mitarbeiter umfasst, die nur unter mysteriösen Namen bekannt sind, wie z Engelsjunge, CB und Meh.

2. EDG der NCC-Gruppe (16.5 Punkte plus 82,500 $). Dieses Team stammt aus der Dedicated Exploit Development Group (EDG) eines globalen Beratungsunternehmens für Cybersicherheit, das ursprünglich 1999 aus dem National Computer Centre der britischen Regierung ausgegliedert wurde.

3. Viettel-Sicherheit (15.5 Punkte plus 78,750 $). Dies ist die Cybersicherheitsgruppe des staatlichen Telekommunikationsunternehmens Vietnams, das größte des Landes.

GELBES TRIKOT VON PWN2OWN (AUCH WENN NUR DER TEXT GELB IST)

Wer wurde nicht gehackt?

Faszinierenderweise waren die acht Produkte, die nicht gehackt wurden, diejenigen mit den größten Prämien.

Die Telefone von Apple und Google im Wert von jeweils 200,000 US-Dollar (plus 50,000 US-Dollar Bonus für Zugriff auf Kernel-Ebene) wurden nicht verletzt.

Ebenso blieben die $ 60,000-pro-Pop-Home-Hubs von Meta, Amazon und Google sicher, zusammen mit den jeweils $ 60,000-Lautsprechern von Apple, Amazon und Google.

Die einzige Prämie in Höhe von 60,000 US-Dollar, die ausgezahlt wurde, war die von Sonos angebotene, deren Lautsprecher von drei verschiedenen Teams angegriffen und jedes Mal geplündert wurde. (Nur das erste Team hatte eine einzigartige Kette von Fehlern, also waren sie die einzigen, die die vollen 60,000 US-Dollar einbrachten).

Ebenso faszinierend ist vielleicht, dass die Produkte, die nicht pwned wurden, auch keinen Angriff überlebten.

Der wahrscheinlichste Grund dafür ist natürlich, dass sich niemand verpflichten wird, bei Pwn2Own mitzumachen, einen Bericht in Veröffentlichungsqualität zu schreiben und nach Toronto zu reisen, um sich der öffentlichen Prüfung zu stellen, live gestreamt zu seinen Kollegen auf der ganzen Welt …

…es sei denn, sie sind sich ziemlich sicher, dass ihr Hacking-Versuch klappen wird.

Aber es gibt auch das Problem, dass es Bug-Buying-Dienste gibt, die mit der Zero Day Initiative (ZDI) von Trend Micro konkurrieren und die behaupten, viel höhere Prämien anzubieten.

Wir wissen also nicht, ob beispielsweise die Telefone und Lautsprecher von Apple und Google ungetestet blieben, weil sie wirklich sicherer waren, oder einfach, weil alle entdeckten Fehler anderswo mehr wert waren.

Zerodium. behauptet zum Beispiel, „bis zu“ 2,500,000 US-Dollar für Android-Sicherheitslücken der obersten Ebene und 2,000,000 US-Dollar für Lücken in Apples iOS zu zahlen, allerdings mit der kniffligen Bedingung, dass Sie nicht sagen können, was mit dem oder den Fehlern passiert, die Sie einsenden .

ZDI hingegen zielt darauf ab, Bug-Jägern einen verantwortungsbewussten Offenlegungsweg anzubieten.

Der „Code of Silence“, den Fehlersucher nach der Übergabe ihrer Berichte einhalten müssen, dient in erster Linie dazu, die Details vertraulich und sicher mit dem Anbieter zu teilen.

Also, obwohl die Anbieter in diesem Pwn2Own insgesamt ausbezahlt von 989,750 $, nach unseren Berechnungen …

…das sind 63 wirklich ausnutzbare Bugs weniger, die da draußen liegen bleiben, an die sich Cyberkriminelle und böswillige Betreiber andernfalls klammern und sie für das Böse ausnutzen könnten.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.