/nginx/o/2023/03/28/15223784t1hda5f.jpg)
Rahvusvahelisel häkkerikonverentsil Pwn2Own Vancouver 2023 pandi välja suured auhinnad tuntud süsteemidesse sissemurdmise eest. Publiku silme all võetigi väljakutsed vastu ja häkiti ära mitmed tuntud süsteemid. Tesla elektriauto lahtimuukija sõitis auhinnana koju uue Tesla Model 3ga.
Häkkerikonverentsi lõppedes olid osalejad teeninud tuntud süsteemidesse sissemurdmise eest 1 035 000 dollarit ning lisaks juba mainitud uue Tesla Model 3 elektriauto.
Häkkimisvõistluse ajal võeti sihikule ettevõtete tarkvara ja sidelahendused, kasutusõiguste jagamise, virtualiseerimise, serverite ja autode turvalahendused, mis kõik olid toodud katsetamiseks ajakohase tarkvara ning vaikimisi seadistustega.
Murdusid sellised tuntud tarkvarad ja süsteemid, nagu Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox ja Tesla Model 3, mille häkkimisega suurendasid häkkerid edukalt kasutaja privileege ja suutsid käivitada oma koodi täielikult paigatud süsteemides.
Pärast turvaaukude ärakasutamist Pwn2Owni käigus antakse tootjatele ja arendajatele aega 90 päeva oma turvaparanduste väljatöötamiseks ja väljatoomiseks, enne kui TrendMicro nullpäeva algatus (Zero Day Initiative) need avalikustab.
Edukaimaks tiimiks osutus Synactiv, kes viis koju üle poole miljoni dollari auhinnaraha ning elektriauto Tesla.
After #Pwn2Own Austin in 2021, we are once again Masters of Pwn at #P2OVancouver! Huge congratulations to the team 🥷, it was amazing! https://t.co/1kvkZ43ouq
— Synacktiv (@Synacktiv) March 25, 2023
Nende üheks suurimaks saavutuseks oligi Tesla elektriauto süsteemi sissemurdmine ning lisaks nullpäeva turvaaugu leidmine Apple´i operatsioonisüsteemis macOS.
Häkkerikonverentsi kolmandal päeval langes ka Microsofti operatsioonisüsteem Windows 11. Synacktivi liige Thomas Imbert murdis sisse täielikult turvauuendustega paigatud Windows 11 operatsioonisüsteemi, teenides sellega 30 000 dollarit. Tegemist oli samuti nullpäeva turvaohuga ehk selle kõrvaldamisega peab Microsoft tegelema kohe, kuna kasutusel olevas süsteemis on viga juba sees.
Päev enne Windows 11 häkkimist, konverentsi teisel päeval leiti turvaauk ka Linuxi operatsioonisüsteemi distributsioonist Ubuntu Desktop.
Üritust korraldab Zero Day Initiative, kuhu saab raporteerida nullpäeva turvaohte ja kustkaudu saavad arendajad nendest varakult teada, et enne avalikustamist turvaparandustega välja tulla. Organisatsioon ei müü ega avalda turvaauke enne nende kõrvaldamist.
Tarkvara loojale avaldatakse kõik leitud haavatavused ning kui turvapaik on valmis, tehakse koostööd, et teavitada avalikkust leitud turvaohust koos ühiste soovitustega, kuidas kasutaja sellest vabaneda saab. Avaldatakse ka turvaaugu avastaja, välja arvatud juhul, kui ta otsustab jääda anonüümseks.
Turvaauku hoitakse saladuses seni, kuni tootja suudab selle kõrvaldamiseks välja töötada turvaparanduse. Algatuse toetaja Trend Micro turvatarkvara kasutajatele antakse varakult pakutava turvafiltri üldine kirjeldus, aga mitte haavatavuse enda kirjeldust enne avalikustamist.
