Pwn20wn betaler til sammen 7,7 millioner kroner til whitehat hackere som klarer utnytte sikkerhetsfeil i Teslas model 3. Den største utbetalingen på 2,1 millioner kroner gis til den eller de som klarer å avdekke sårbarheter og eksekvere kode i bilens gateway, autopilot eller VCSEC.
I Pwn2Own og andre lignende konkurranser mottar vinnerne en premie mot at de forteller hvordan de har greid å trenge gjennom sikkerheten til produktene de har brynet seg på.
Det er arrangøren av konkurransen som i utgangspunktet får disse detaljene,men informasjonen videreformidles ofte til de respektive leverandørene av de hackede produktene.
CanSevWest
Gatewayen i en Tesla fungerer som bilens hjerne, mens Vehicle Controller Secondary (VCSEC) er ansvarlig for bilens sikkerhetsfunksjonalitet.
De tre systemene er de mest kritiske delene av el-bilen.
Pwn2Own er en del av sikkerhetskonferansen CanSecWest som i år avholdes i Vancouver i Canada i mars. Hackekonkurransen har røtter tilbake til 2007 og har som mål å avdekke sårbarheter i populære kommersielle produkter.
Eventuelle sårbarheter som ser dagens lys i løpet av dagene konkurransen avholdes ville kanskje aldri nådd produsentene, og kunne i verste fall utnyttes til å utføre onde handlinger.
Masse penger å hente
For å knekke Teslas nøkkelsystem eller systemet som lar mikrokontrollerne snakke sammen utbetales det 850 000 kroner.
Klarer du å sikre deg administratorprivilegier til bilens operativsystemkjerne kan du vente deg en utbetaling på 725 000 kroner. Klarer du å oppnå uautorisert tilgang til bilens systemer via blåtann eller wifi kan du vente deg en utbetaling fra Pwn2Own på 512 000 kroner.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
Foruten Teslas Model 3 kan deltakerne bryne seg på Oracle VirtualBox, Microsoft Office 365 og Google Chrome.
Hackerkonkurransen er sponset av Trend Micros Zero Day Initiative (ZDI).
![Sikkerhetsforskerne Amat Cama (fra v.) fra Senegal og Richard Zhu med bakgrunn fra Kina, hadde ingen problemer med å knekke både iPhone X, Galaxy S9 og Xiaomi Mi6. Duoen kan nå smykke seg med tittelen «masters of pwn». <i>Foto: Zero Day Initiative</i>](https://images.gfx.no/290x/2383/2383885/fluoroacetate%2520pwn2own%25202018%2520tokyo.jpg)
To karer fikk med seg 1,8 mill
I fjor stilte tre team av sikkerhetsforskere til start i Tokyo , og lagene fikk med seg til sammen rundt tre millioner kroner.
Duoen «Fluoracetate» – bestående av sikkerhetsforskerne Richard Zhu og Amat Cama – tok alene med seg 1,8 millioner kroner av premiepotten.
«Fluoracetate» klarte blant annet å fjernhacke iPhone X over WiFi ved å utnytte en sårbarhet i JIT-kompilatoren i den innebygde nettleseren Safari, for deretter å bryte seg ut av sandkasse-beskyttelsen og kjøre vilkårlig kode.
Strengt hemmelig
Konferansen følges tett av bransjen. Representanter fra Apple, Google, Samsung, Xiaomi og Huawei var tilstede under fjorårets konkurranse.
![Innovasjon Norge](https://images.gfx.no/80x/2828/2828923/df17d6fe-c2a4-45b1-ada6-7cd31fc3c531.png)
![Derfor har norske bedrifter et unikt forsprang i India nå](https://images.gfx.no/1000x333/2846/2846314/image.png)
Detaljene rundt metodene som blir benyttet for å omgå sikkerhetstiltakene til de ulike produsentene holdes strengt hemmelig helt til den berørte produsenten av programvaren har fått tid til å utvikle en sikkerhetsoppdatering.
Kinesiske deltakere har ofte innkassert noen av de største pengepremiene, men i fjor satte det kinesiske regimet foten ned for videre deltakelse. Kinesiske myndigheter ønsker nemlig ikke at landets beste hackere skal delta i internasjonale konkurranser.
– Informasjonen bør forbli i Kina
Problemet for kinesiske myndigheter ligger tilsynelatende i det at en tredjepart gjøres kjent med sårbarhetene – i dette tilfellet ZDI.
![Kinesiske Tencent har en rekke ganger sendt hackerlag til Pwn2Own-konkurransene. Men ikke i år. Bildet er av Tencent Keen Security Lab Team under Mobile Pwn2Own i 2016. <i>Foto: Trend Micro</i>](https://images.gfx.no/290x/2383/2383886/tencent.1000x548.jpg)
Det skal ikke bare være fra de kinesiske myndighetene at disse signalene har kommet. Også ledelsen i flere av de kinesiske teknologigigantene har samme syn.
Toppsjefen i kinesiske Qihoo 360, Zhou Hongyi, uttalte i 2017 at USA er veldig glade i å arrangere slike konkurranser, men ofte uten amerikansk deltakelse.
Zhou Hongyi mente at den faktiske verdien av sårbarhetene som avsløres under konkurransene er langt høyere enn pengepremiene.
– Informasjonen om disse sårbarhetene bør forbli i Kina, sa Qihoo 360-toppen til Sina Technology i 2017.