Pwn20wn

Betaler til sammen 7,7 millioner kroner om du klarer å avdekke feil i denne doningen

Tesla Model 3 stilt ut under bilmessen i Paris. Illustrasjonsfoto.
Tesla Model 3 stilt ut under bilmessen i Paris. Illustrasjonsfoto. (Foto: Marius Valle)

Pwn20wn betaler til sammen 7,7 millioner kroner til whitehat hackere som klarer utnytte sikkerhetsfeil i Teslas model 3. Den største utbetalingen på 2,1 millioner kroner gis til den eller de som klarer å avdekke sårbarheter og eksekvere kode i bilens gateway, autopilot eller VCSEC.

I Pwn2Own og andre lignende konkurranser mottar vinnerne en premie mot at de forteller hvordan de har greid å trenge gjennom sikkerheten til produktene de har brynet seg på.

Det er arrangøren av konkurransen som i utgangspunktet får disse detaljene,men  informasjonen videreformidles ofte til de respektive leverandørene av de hackede produktene. 

CanSevWest

Gatewayen i en Tesla fungerer som bilens hjerne, mens Vehicle Controller Secondary (VCSEC) er ansvarlig for bilens sikkerhetsfunksjonalitet. 

De tre systemene er de mest kritiske delene av el-bilen. 

Pwn2Own er en del av sikkerhetskonferansen CanSecWest som i år avholdes i Vancouver i Canada i mars. Hackekonkurransen har røtter tilbake til 2007 og har som mål å avdekke sårbarheter i populære kommersielle produkter. 

Eventuelle sårbarheter som ser dagens lys i løpet av dagene konkurransen avholdes ville kanskje aldri nådd produsentene, og kunne i verste fall utnyttes til å utføre onde handlinger. 

Masse penger å hente

For å knekke Teslas nøkkelsystem eller systemet som lar mikrokontrollerne snakke sammen utbetales det 850 000 kroner.

Klarer du å sikre deg administratorprivilegier til bilens operativsystemkjerne kan du vente deg en utbetaling på 725 000 kroner. Klarer du å oppnå uautorisert tilgang til bilens systemer via blåtann eller wifi kan du vente deg en utbetaling fra Pwn2Own på 512 000 kroner.  

Foruten Teslas Model 3 kan deltakerne bryne seg på Oracle VirtualBox, Microsoft Office 365 og Google Chrome.

Hackerkonkurransen er sponset av Trend Micros Zero Day Initiative (ZDI).

Sikkerhetsforskerne Amat Cama (fra v.) fra Senegal og Richard Zhu med bakgrunn fra Kina, hadde ingen problemer med å knekke både iPhone X, Galaxy S9 og Xiaomi Mi6. Duoen kan nå smykke seg med tittelen «masters of pwn». Foto: Zero Day Initiative

To karer fikk med seg 1,8 mill

I fjor stilte tre team av sikkerhetsforskere til start i Tokyo , og lagene fikk med seg til sammen rundt tre millioner kroner. 

Duoen «Fluoracetate» – bestående av sikkerhetsforskerne Richard Zhu og Amat Cama – tok alene med seg 1,8 millioner kroner av premiepotten. 

«Fluoracetate» klarte blant annet å fjernhacke iPhone X over WiFi  ved å utnytte en sårbarhet i JIT-kompilatoren i den innebygde nettleseren Safari, for deretter å bryte seg ut av sandkasse-beskyttelsen og kjøre vilkårlig kode.

Strengt hemmelig

Konferansen følges tett av bransjen. Representanter fra Apple, Google, Samsung, Xiaomi og Huawei var tilstede under fjorårets konkurranse.

Detaljene rundt metodene som blir benyttet for å omgå sikkerhetstiltakene til de ulike produsentene holdes strengt hemmelig helt til den berørte produsenten av programvaren har fått tid til å utvikle en sikkerhetsoppdatering. 

Kinesiske deltakere har ofte innkassert noen av de største pengepremiene, men i fjor satte det kinesiske regimet foten ned for videre deltakelse. Kinesiske myndigheter ønsker nemlig ikke at landets beste hackere skal delta i internasjonale konkurranser. 

– Informasjonen bør forbli i Kina 

Problemet for kinesiske myndigheter ligger tilsynelatende i det at en tredjepart gjøres kjent med sårbarhetene – i dette tilfellet ZDI.

Kinesiske Tencent har en rekke ganger sendt hackerlag til Pwn2Own-konkurransene. Men ikke i år. Bildet er av Tencent Keen Security Lab Team under Mobile Pwn2Own i 2016. Foto: Trend Micro

Det skal ikke bare være fra de kinesiske myndighetene at disse signalene har kommet. Også ledelsen i flere av de kinesiske teknologigigantene har samme syn. 

Toppsjefen i kinesiske Qihoo 360, Zhou Hongyi, uttalte i 2017 at USA er veldig glade i å arrangere slike konkurranser, men ofte uten amerikansk deltakelse.

Zhou Hongyi mente at den faktiske verdien av sårbarhetene som avsløres under konkurransene er langt høyere enn pengepremiene. 

– Informasjonen om disse sårbarhetene bør forbli i Kina, sa Qihoo 360-toppen til Sina Technology i 2017.

Kommentarer (12)

Kommentarer (12)
Til toppen