Nisan 2007’de, Apple’ın “Ben bir Mac’im” reklamları insanlara Mac’lerin saldırıya uğramayacağını söylediğinde, güvenlik araştırmacısı Dragos Ruiu, güvenlik araştırmacılarıyla dolu bir odanın önünde bu fikri test etmeye karar verdi. . İki MacBook Pro satın aldı ve onları Vancouver’da düzenlediği CanSecWest konferansının zeminine koydu. Mücadelenin akılda kalıcı bir adı vardı, Pwn2Own: Bir bilgisayara sahipseniz, ona sahip olursunuz.
Ruiu için bu bir oyundan daha fazlasıydı. ” yapmak istedi.siyasi nokta” reklamların yanıltıcı olduğunu ve Apple’ın güvenliği ciddiye alması gerektiğini söyledi.
“Apple’ın araştırmacılarla tekrar tekrar devam eden bir ilişkisi var. Bazen bilgisayar korsanlarını severler, bazen bilgisayar korsanları yokmuş gibi davranmak isterler,” diyor Ruiu, Dark Reading’e. “Bu, pazarlama departmanlarının güvenlik ekiplerini yönettiği zamanlardan biri.”
O zamanlar çoğu şirket güvenlik araştırmacılarına da kötü davrandı. Birisi bir kusur bulup bunu rapor ederse, genellikle avukatlarla tehdit edilirdi. Trend Micro’nun Zero Day Initiative programının iletişim müdürü ve şu anda etkinliği yürüten Dustin Childs, Pwn2Own’un başarısının bir parçası olarak, “hataları bildirme kavramını normalleştirme”nin değişmesine yardımcı oldu.
Yıllar boyunca, Pwn2Own yarışması Dino Dai Zovi, Charlie Miller, George Hotz, Vincenzo Iozzo, Dion Blazakis, Ralf-Philipp Weinmann ve Jung Hoon Lee (diğer adıyla Lokihardt) gibi yüksek profilli araştırmacıları kendine çekti. Mac’lerden telefonlara, IoT cihazlarına, endüstriyel kontrol sistemlerine ve hatta arabalara kadar her şeyi dürttüler.
Trend Micro Gorenc güvenlik açığı araştırması kıdemli direktörü Brian Gorenc, “Bu, herhangi bir zamanda, sektördeki en gelişmiş istismar tekniklerinden bazılarının bir göstergesidir” diyor. Bunun gibi gösteriler aslında endüstrinin güvenliğe bakışını değiştiriyor.
Araştırmacıların çabaları da iyi bir şekilde ödüllendiriliyor. Yalnızca geçen yıl, Pwn2Own’da nakit ödüller –
dünyanın en yüksek ücretli bilgisayar korsanlığı yarışmalarından biri – birden fazla etkinlik sırasında toplamda 2,5 milyon doları aştı.
Bu yılki yarışmabugün başlayan , 15. yıldönümünü kutlar ve altı kategori içerir: sanallaştırma, Web tarayıcısı, kurumsal uygulamalar, sunucu, yerel ayrıcalık artışı, kurumsal iletişim ve otomotiv. En çok puanı kazanan, Master of Pwn olarak taçlandırılacak ve bu da onlara “katil” garantisi verecek. ganimet ve bir güzel şık ceket önyükleme için.”
Erken Pwn2Own Kazançları
Ancak, en son güvenlik güncellemelerine sahip iki MacBook Pro’nun saldırıya uğramayı beklediği 2007 CanSecWest konferansının ilk gününün bir özetiyle başlayalım. Birkaç araştırmacı şansını denedi ama bilgisayarlar hayatta kaldı.
Ardından, toplantıya katılan güvenlik uzmanı Shane Macaulay, New York’ta yaşayan eski iş arkadaşı Dino Dai Zovi’yi aradı ve katılmak isteyip istemediğini sordu.
“Tamam, tamam, oturup bir bakayım ve ne bulabileceğime bir bakayım” dedim. Dai Zovi dedi konferanstan bir hafta sonra bir röportajda. Bir hatayı tespit etmesi beş saatini ve istismarı yazması dört saatini aldı. Sabah saat 3’te Macaulay’ı aradı ve ona gerçekten kazanabileceklerini söyledi.
Dai Zovi, bir Java uygulaması aracılığıyla yüklenebilen QuickTime kitaplığında bir hata buldu. Saldırgan, Safari ve Firefox gibi Java uygulamalarını destekleyen Mac OS X’teki herhangi bir tarayıcı aracılığıyla bundan yararlanabilir. Yararını bir web sitesine koyan ve URL’sini mücadelenin organizatörlerine e-postayla gönderen Macaulay’a gönderdi. Kötü niyetli Web sayfasını yükledikten sonra Macauley, kendisine dizüstü bilgisayarın kontrolünü sağlayan uzak bir kabuk aldı. İkili makineyi çalıştırdı ve onlara 15 inçlik bir MacBook (Dai Zovi’nin yakın zamanda kendisine bir dizüstü bilgisayar satın aldığından beri Macaulay’in elinde bulundurduğu) ve Zero Day Initiative’in izniyle 10.000 $ nakit ödül kazandı.
Dai Zovi, ilk Pwn2Own etkinliğini kazanmanın hayatını değiştirdiğini söylüyor. “Kariyerim için çok büyük bir avantajdı ve onu gerçekten farklı ve daha iyi bir yörüngeye koydu” diyor. “O zamanlar, neredeyse on yıldır kişisel bir hobi olarak istismarları sessizce yazıyordum, ancak bunun için hiç bilinmiyordum.”
Kazandığı itibar, onu iOS güvenliği üzerine projelere danışmanlık yapmaya ve başka bir Pwn2Own rock yıldızı Charlie Miller ile “The Mac Hacker’s Handbook”, ardından “iOS Hacker’s Handbook” adlı bir kitap yazmaya yöneltti.
Miller, ertesi yıl meslektaşları Jake Honoroff ve Mark Daniel ile Safari için bir istismar yazdığında kendini spot ışığında buldu. “İyi olduğum şeyler hakkında önyargılı olduğum için olabilir, ama [Safari is] en kolay tarayıcı [to hack]”dedi Miller görüşme yarışmadan sonra.
Apple’ın Ötesinde
Ancak Pwn2Own sadece Apple ürünleriyle ilgili değildi. 2008 etkinliği sırasında, Vista çalıştıran bir Fujitsu U810 dizüstü bilgisayar da Shane Macaulay, Alexander Sotirov ve Derek Callaway tarafından yazılmış bir Adobe Flash açığıyla saldırıya uğradı.
Gorenc, “Başlangıçta Pwn2Own çok tarayıcı odaklı bir yarışmaydı ve yıllar içinde saldırı yüzeylerini genişlettik” diyor. “İnsanların gelmesini daha çekici hale getirmek için ödülleri artırdık.”
Gerçekten de, 2015 yılına kadar toplam nakit fiyatları 500.000 doları aştı. Bu ayki hibrit formatta düzenlenen etkinlikte, Pwn2Own tarihinin en büyük hedefi olan Tesla Model 3’ün hacklenmesini bekleyen 600.000$’a varan bir miktar var.
Ama mesele sadece para değil. Dai Zovi şunları söylüyor: Milyarlarca olmasa da milyonlarca insanın güvenliği artırmak için ne kadar ihtiyacımız olduğuna dikkat çekmek için kullandığı yazılıma karşı gerçekten neyin mümkün olduğuna odaklandı.”
‘Vay’ bir understatement olduğunda
Pwn2Own yarışması, MS Office, Adobe Reader ve Zoom gibi yazılımları içerecek şekilde genişledi. Ayrıca iPhone’ların ve BlackBerry’lerin güvenliğini test etti ve SCADA sistemlerini ve IoT cihazlarını hedef alan saldırılar düzenledi.
Bir HP Güvenlik Araştırmasına göre, hack’lerden bazıları akıllara durgunluk veriyordu ve “‘vay be’nin’ yeterli olmadığı zamanlar” Blog yazısı 2015 etkinliği sırasında yayınlandı. Bu, Güney Kore’den Jung Hoon Lee’nin üç tarayıcıyı hacklediği zamandı: Internet Explorer 11 (kontrol süresinden kullanım süresine kadar bir güvenlik açığı buldu), Chrome’un hem kararlı hem de beta sürümü (arabellek taşması yarış koşulundan yararlandı) tarayıcıda) ve Safari (tarayıcıda başlatılmamış bir yığın işaretçisinden yararlandı).
Çin İnternet güvenlik şirketi Qihoo 360’tan bir araştırmacı ekibi, VMWare’in sanal makine korumalı alanına girdiğinde 2017’de bir başka heyecan verici hack gerçekleşti.
“Tamamen yamalı bir Windows kutusu olan sanal bir istemci başlattılar. Tamamen yamalı bir tarayıcı çektiler ve bir Web sayfasına göz attılar. Ellerini klavyeden çektiler ve her şeyin çalışmasına izin verdiler” diyor Trend Micro’dan Childs. “Bundan kurtulmak için yeterince böcek birleştirdiler [sandbox] ve alttaki VMware Server’daki temel hiper yöneticide kod yürütün. Ve şaşırtıcıydı.”
Bu gibi hack’ler, satıcıların rekabetten önce gergin hissetmelerine neden oldu ve bazen bir etkinlikten önce güncellemeleri bile zorladı.
Güvenlik uzmanı Iozzo, “Bir yıl Vancouver’a, yalnızca Kanada’da dağıtılan BlackBerry sürümünün aslında hatamızı yamaladığını öğrenmek için geldik, bu yüzden açığı düzeltmek için iki gece uyumamak zorunda kaldık” diyor.
Ancak, bunun gibi şeylerin Pwn2Own’un önbelleğinin bir parçası olduğunu da ekliyor. Bu etkinliklere katılan birçok hacker, hem yoğun hem de eğlenceli olduklarını söylüyor. Mart 2019’da adını bir şirketten alan Fluoroasetat ekibi son derece toksik madde
Böcekleri öldürebilen, Tesla’nın Model 3’ün bilgi-eğlence sisteminde ciddi bir bellek rastgeleleştirme hatası buldu. Takım üyeleri Richard Zhu ve Amat Cama, 375.000 $ ve araba kazanarak Master of Pwn olarak taçlandırıldılar.
Mizah ve şakalar, bilgisayar korsanlığıyla ilişkili stresi tamamlar.
Childs, “Geçen yıl ayrıca, bir yazıcıyı hackleyip hoparlörden AC/DC çalan birisini bulduk, bu oldukça yaratıcıydı” diyor. “Ciddi bir konuyla uğraşıyoruz; bu hataların etkisi muazzam olabilir. Ancak aynı zamanda, kendimizi fazla ciddiye almamak için rakiplerimiz için tavrı hafif tutmaya çalışıyoruz.”
Pwn2Own’un Böcek Avına Katkıları
Pwn2Own yarışmasının ilk baskısı gerçekleştiğinde, böcek avlama konsepti oldukça egzotikti. Çoğu şirket, sorunları bildiren güvenlik araştırmacılarıyla konuşmaya isteksizdi ve Pwn2Own etkinliklerine katılan satıcılar bile bu konuda karışık duygulara sahipti.
Ancak rekabet ilgi görüp herkese iyi bir tanıtım yapınca şirketler açılmaya başladı. Geriye dönüp baktığında, güvenlik araştırmacısı Ruiu, Pwn2Own’un kısmen arabulucu rolünü üstlendiğini ve bilgisayar korsanlarının çalışmaları için iyi bir ücret almasına yardımcı olduğunu söylüyor.
Ruiu, “Üreticiler şunu söylemeyi çok isterler: Burada bir tişört var” diyor. “Ama güvenlik geliştiricilerinin savunucusu olduk.”
Güvenlik uzmanları ve satıcılar, hack’ler hakkında konuşmak için ifşa odasında bir araya geldikçe, hava daha az düşmanca ve daha işbirlikçi hale geldi. Sonuç: Hatalar, kötü niyetli bir varlık tarafından istismar edilmeden hemen önce düzeltildi.
Microsoft’ta bir tehdit analisti olan Terri Forslof, Pwn2Own, “sorumlu kuruluşların, araştırmacılara bulgularına harcadıkları saatler için ödeme yapmalarının uygun olduğunu” gösterdi ve birçok büyük yazılım şirketini hata ödül programlarını desteklemeye yönlendirdi, diyor.
Ruiu, Pwn2Own’un araştırmacılar ve teknoloji şirketleri arasında aracı olarak çalışan HackerOne ve Bugcrowd gibi hata ödüllü platformların önünü açmaya yardımcı olduğunu söyleyerek aynı fikirde. 2021’de HackerOne yaklaşık 37 milyon dolar ödedi 66.500’den fazla geçerli hata için; kritik bir hata için ortalama kazanç yaklaşık 3.000 dolardı. Yine geçen yıl Google, böcek avcılarına 8,7 milyon dolar teklif ederken, Zoom 1,8 milyon dolar ödedi.
Ruiu’nun Apple’ın güvenliği ciddiye almasını sağlama hedefine de en azından kısmen ulaşıldı. Cupertino, Kaliforniya, dev şu anda sunuyor 1 milyon dolara kadar Kalıcılık ve çekirdek PAC atlamalı sıfır tıklamalı çekirdek kodu yürütmesiyle sonuçlanan bir istismar için güvenlik uzmanlarına.
Ancak böcek ödüllerinin oynadığı rol inkar edilemez olsa da, ilgili sorunlar devam ediyor. Hala resmileştirilmeleri gerektiğini söyleyen Childs, bu tür projelerin herkes için olmadığını da sözlerine ekledi. “Her şeye uyan tek beden değiller” diyor.
Birçok şirket, aldıkları raporları işleyebilmek için olgun bir yanıt sürecine sahip olmadan hata ödül programlarına başlar. Childs’ın dediği gibi, “Bütün bu böcekleri alıyorlar ve onlarla ne yapacaklarını bilmiyorlar.” Kuruluşların, güncellemeleri müşterilere sunmak için etkin bir önceliklendirme ve özel prosedür süreçlerine sahip olması gerektiğine dikkat çekiyor.
Childs, “Bu temel, temel sürece sahip olana kadar, bir hata ödül programı sunmak aslında yarardan çok zararlı olacak çünkü hatalar alacaksınız ve buna boğulacaksınız” diyor. . “Ve sonra, rapor vermelerini istemenize rağmen, rapor veren insanlarla düşmanca bir ilişkiniz olmaya başlıyorsunuz.”
Hackerlar da şikayetçi. Bazıları, keşfettikleri hatalar için düşük ücret aldıklarını söylerken, diğerleri çabalarının her zaman tam olarak kabul edilmediğini savunuyor.
Bu haftaki Pwn2Own sırasında hem Ruiu hem de ZDI doğru yönde küçük bir adım daha atmayı umuyor. “Hala değişmeye devam ediyor; sürekli gelişiyor,” diyor Ruiu. “Hedeflerimizden biri, satıcılar ve bağımsız araştırmacılar arasındaki ilişkiyi geliştirmektir.”