Pwn2Own
Pwn2Own | |
|---|---|
| Características | |
| Classificação | programação competitiva  |
| Data/Ano | abril 2007 |
| página oficial | |
| Especificações ténicas | |
| [ Editar Wikidata ] [ Editar infocaixa ] | |
A Pwn2Own (trocadilho do inglês "invada para ser dono"[1]) é uma competição anual entre hackers, que acontece desde o ano de 2007, durante a conferência de segurança CanSecWest,[1][2][3] organizada pela Zero Day Initiative (ZDI) da empresa japonesa Trend Micro.[1][4] Os participantes são desafiados a explorar amplamente softwares e dispositivos móveis com vulnerabilidades previamente desconhecidas. Esta competição usa o sistema de pontos "Master of Pwn" para escolher o vencedor.[1]
Os vencedores do concurso junto com o prêmio em dinheiro, também recebem o dispositivo que eles exploraram as vulnerabilidades computacionais,[1] e uma jaqueta de "Masters" com o ano da sua vitória. O concurso serve para demonstrar as brechas de segurança dos dispositivos e softwares em uso generalizado, proporcionando também um posto de controle sobre os progressos realizados em matéria de segurança desde o ano anterior.
A edição de 2025 será em janeiro na cidade japonesa de Tóquio,[5][6][7] com foco na indústria automotiva.[5]
Histórico
2007
O primeiro concurso foi destinado a explorar brechas de segurança computacionais no sistema operacional Mac OS X da Apple,[1][3][8] e o navegador web Safari;[1] na época havia uma crença generalizada de que este sistema era muito mais seguro que os concorrentes.[8] O concurso ocorreu de 18 de abril à 20 de abril de 2007.
2024
Em 2024 ocorreram duas edições: a primeira edição Pwn2Own Vancouver 2024 realizado em 20-21 de março,[4][9] que teve como vencedor a empresa de segurança cibernética Synacktiv, que ganhou 200 mil dólares e o carro Tesla Model 3, por uma exploração de estouro de número inteiro da unidade de controle eletrônico (ECU) do Tesla com controle de barramento CAN (barramento de comunicação serial);[4] a segunda edição Pwn2Own Ireland 2024 realizada em 22-25 de outubro,[10] a empresa de segurança cibernética Viettel recebeu o prêmio "Master of Pwn" por conquistar um total de 33 pontos,[5][11] recebendo o prêmio de 205 mil dólares por falhas no QNAP NAS, Sonos speakers e, impressora Lexmark.[5]
2025
A edição de 2025 (Pwn2Own Auto 2025), está agendado para 22-24 de janeiro na cidade japonesa de Tóquio (Japão),[5][6][7] com foco na indústria automotiva e conta com quatro categorias: Tesla; In-Vehicle Infotainment (IVI); Electric Vehicle Chargers, e; Operating Systems.[5]
Exploits
| Candidato/Empresa | Afiliação | Ano | Alvo | Ref |
|---|---|---|---|---|
| Dino Dai Zovi | Independente | 2007 | Quicktime (Safari) | [12] |
| Shane Macauley | Independente | 2007 | Quicktime (Safari) | [12] |
| Charlie Miller | ISE | 2008 | Safari (PCRE) | |
| Jake Honoroff | ISE | 2008 | Safari (PCRE) | |
| Mark Daniel | ISE | 2008 | Safari (PCRE) | |
| Shane Macauley | Independente | 2008 | Flash (Internet Explorer) | |
| Alexander Sotirov | Independente | 2008 | Flash (Internet Explorer) | |
| Derek Callaway | Independente | 2008 | Flash (Internet Explorer) | |
| Charlie Miller | ISE | 2009 | Safari | [13] |
| Nils | Independente | 2009 | Internet Explorer, Safari e, Firefox | |
| Charlie Miller | ISE | 2010 | Safari | |
| Peter Vreugdenhil | Independente | 2010 | Internet Explorer | |
| Nils | Independent | 2010 | Firefox | |
| Ralf-Philipp Weinmann | Independente | 2010 | iOS | |
| Vincenzo Iozzo | Independente | 2010 | iOS | |
| VUPEN | VUPEN | 2011 | Safari 5 no MacBook Air | [14] |
| Stephen Fewer | Harmony Security | 2011 | Internet Explorer 8 e, ASLR e DEP no Windows 7 | [14] |
| Charlie Miller | ISE | 2011 | iOS | |
| Dion Blazakis | ISE | 2011 | iOS | |
| Willem Pinckaers | Independente | 2011 | BlackberryOS | |
| Vincenzo Iozzo | Independente | 2011 | BlackberryOS | |
| Ralf-Philipp Weinmann | Independente | 2011 | BlackberryOS | |
| VUPEN | VUPEN | 2012 | Unknown | |
| Willem Pinckaers | Independente | 2012 | Unknown | |
| Vincenzo Iozzo | Independente | 2012 | Unknown | |
| VUPEN | VUPEN | 2013 | Internet Explorer, Flash, Java | |
| Nils | MWR Labs | 2013 | Chrome | |
| Jon | MWR Labs | 2013 | Chrome | |
| George Hotz | Independente | 2013 | Adobe Reader | |
| Joshua Drake | Independente | 2013 | Java | |
| James Forshaw | Independente | 2013 | Java | |
| Ben Murphy | Independente | 2013 | Java | |
| Pinkie Pie | Independente | 2013 (Mobile) | Chrome | |
| VUPEN | VUPEN | 2014 | Windows 8.1 e IE 11 | |
| Nico Joly | VUPEN | 2014 | Windows Phone e IE 11 (Mobile) | |
| VUPEN | VUPEN | 2014 | Windows 8.1 e Adobe Reader XI, Chrome, Adobe Flash e, Mozilla Firefox | |
| Liang Chen, Zhao Zeguang | equipe Keen, team509 | 2014 | Windows 8.1 e Adobe Flash | |
| Sebastian Apelt, Andreas Schmidt | Independente | 2014 | Windows 8.1 e IE 11 | |
| Jüri Aedla | Independente | 2014 | Windows 8.1 e Mozilla Firefox | |
| Mariusz Mlynski | Independente | 2014 | Windows 8.1 e Mozilla Firefox | |
| George Hotz | Independente | 2014 | Windows 8.1 e Mozilla Firefox | |
| Liang Chen, Zhao Zeguang | equipe Keen, team509 | 2014 | OSX Mavericks Safari | |
| Jung Hoon Lee, "lokihardt" | Independente | 2015 | Windows, IE 11, Google Chrome e, Safari | [3][15] |
| Nico Golde, Daniel Komaromy | Independente | 2015 (Mobile) | Samsung Galaxy S6 Baseband | |
| Guang Gong | Qihoo 360 | 2015 (Mobile) | Nexus 6 Chrome | |
| JungHoon Lee, "lokihardt" | 2016 | Safari e Edge | [16] | |
| Synacktiv (Pwn2Own Vancouver) | Synacktiv | 2024 | Tesla Model 3 | [4] |
| Viettel (Pwn2Own Ireland) | Viettel | 2024 | QNAP NAS, Sonos speakers e, impressora Lexmark | [5][11] |
Referências
- 1 2 3 4 5 6 7 «Competição Pwn2Own paga R$ 2,5 milhões por 51 falhas em softwares». G1 Tecnologia. 28 de março de 2017. Consultado em 12 de dezembro de 2024
- ↑ Ruiu, Dragos (20 de março de 2007). «PWN to OWN (was Re: How Apple orchestrated web attack on researchers)». Consultado em 14 de março de 2014
- 1 2 3 Roh, Altieres (23 de março de 2015). «Internet Explorer, Chrome, Firefox e Safari são hackeados em competição». G1 Tecnologia. Consultado em 12 de dezembro de 2024
- 1 2 3 4 «Maior prêmio do Pwn2Own foi para hack a um carro Tesla». CISO Advisor. 25 de março de 2024. Consultado em 12 de dezembro de 2024
- 1 2 3 4 5 6 7 «Over 70 zero-day flaws get hackers $1 million at Pwn2Own Ireland». Bleeping Computer (em inglês). Consultado em 12 de dezembro de 2024
- 1 2 «Announcing Pwn2Own Automotive 2025». Zero Day Initiative / Trend Micro (em inglês). Consultado em 12 de dezembro de 2024
- 1 2 «Pwn2Own Auto 2025 Rules». Zero Day Initiative / Trend Micro (em inglês). Consultado em 12 de dezembro de 2024
- 1 2 «How long can a Mac survive the hacker jungle?». 26 de Março de 2007. Consultado em 1 de abril de 2012
- ↑ «Pwn2Own Vancouver 2024 - The Full Schedule». Zero Day Initiative (em inglês). Consultado em 12 de dezembro de 2024
- ↑ «Zero Day Initiative — Pwn2Own Ireland - The Full Schedule». Zero Day Initiative (em inglês). Consultado em 12 de dezembro de 2024
- 1 2 «Zero Day Initiative — Pwn2Own Ireland 2024: Day Four and Master of Pwn». Zero Day Initiative (em inglês). Consultado em 12 de dezembro de 2024
- 1 2 «QuickTime, not Safari, to blame for MacBook vuln» (em inglês). Consultado em 12 de dezembro de 2024
- ↑ «Mac security researcher wins Pwn2Own contest». Apple Insider. 19 de março de 2009
- 1 2 Hardware (11 de março de 2011). «IE8 e Safari são 'hackeados' durante a Pwn2Own, e ninguém tenta o Chrome». Hardware.com.br. Consultado em 12 de dezembro de 2024
- ↑ «Pwn2Own 2015: The year every web browser went down | ZDNet». ZDNet. Consultado em 6 de maio de 2016
- ↑ «Safari, Flash, Edge e Chrome são atacados no evento 'Pwn2Own'». G1 Tecnologia. 22 de março de 2016. Consultado em 12 de dezembro de 2024
Ligações externas
Zero Day Initiative: Drawing for Order, Pwn2Own Ireland 2024 no YouTube