A competição anual de invasores Pwn2Own será mais uma maratona do que uma corrida de cem metros. O patrocínio da HP/TippingPoint DVLabs alavancou o prestígio da competição ao aumentar os obstáculos.
Há apenas quatro alvos na competição desse ano, e todos são navegadores: Microsoft Internet Explorer, Moxilla Firefox, Google Chorme e Apple Safari. Diferentemente dos anos passados, não será uma corrida de zero-day, mas por sistemas de pontos com desafios específicos, e primeiro, segundo e terceiro lugares ganharão prêmios que totalizam US$ 105 mil para os três ganhadores da competição ou times.
O Google também oferece dois prêmios bônus para invasão completa ou parcial do Chrome. A completa significa usar falhas no código de execução do Chrome “um-sandboxed”. Segundo Aaron Portnoy, diretor da ZDI “pela invasão completa o prêmio (para cada um) é de US$ 20 mil”. Usar uma falha do Chrome, bem como do sistema operacional no qual ele se apoia, dá US$ 10 mil para cada competidor.
E isso é só o começo. “Se a pessoa quebrar o Chrome na competição, fica associada ao navegados e a nós.”.
Talvez a maior mudança na competição, que acontece no ConSecWest entre 7 e 9 de março, seja o comprimento e a largura: não haverá mais o “fim do jogo” quando um competidor atingir uma falha zero-day no software alvo. Os vencedores serão baseados em um sistema de pontos, e não haverá invasão de dispositivos móveis.
A ZDI também irá inserir novos elementos: vulnerabilidades corrigidas nas quais os pesquisadores da empresa encontraram falhas.
Os competidores têm três dias para escrever uma exploração que funcione contra o alvo. Se conseguir invadir no primeiro dia, ganha 10 pontos; no segundo, ganha 9 pontos; se realizar a exploração no terceiro dia, ganha 8 pontos.
Uma exploração zero-day encontrada vale 32 pontos por indivíduo ou equipe, para ficar em primeiro lugar, o vencedor precisa achar pelo menos um zero-day. O primeiro lugar geral ganha US$ 60 mil, o segundo US$ 30 mil e o terceiro US$15 mil. Se invadirem o Chrome, ganham bônus de acordo com os critérios do Google.
Como em todas as outras vezes, os fornecedores afetados pela competição recebem relatório das vulnerabilidades descobertas e os vencedores ganham novos laptops, além do prêmio em dinheiro.
A ZDI postou uma descrição completa das regras aqui.
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…