مراجعة مسابقة Pwn2Own لسنة 2018

0
لابدى من أنك مهتم بأمن المعلومات و الدليل على كلامي هو دخولك للموضوع من أحد مواقع التواصل الإجتماعي, أو محرك البحث.
في البداية يجب أن نوضح لك ما هو Pwn2Own .

ما هي مسابقة  Pwn2Own?

الحقيقة هي أنه لا توجد أي معلومات في المحتوى العربي بأكمله على مسابقة Pwn2Own و هذا ما رأيته من صفحة wikipedia حيث أنه لا توجد أي مقالة بالعربية تتحدث على مسابقة Pwn2Own التي تعقد كل سنة  و كانت أول مرة سنة 2007 .
لا علينا من كل هذا الكلام .

مسابقة Pwn2Own  لإكتشاف الثغرات  و التي تعقد كل سنة في مؤتمر الأمن المعلوماتي CanSecWest.
حيث يأتي للمسابقة أقوى  الهاكرز من جميع أنحاء العالم;  و يتم إعطاء الهاكرز أهداف محددة سواء أنظمة  تشغيل أو  برامج أو غيرها; و الفائز هو من يجد أكبر عدد من الثغرات  في أسرع وقت ممكن و إسم المسابقة يتم إختصاره الى 3 حروف و هي pwn.
ربما في المستقبل القريب سأقوم بترجمة الموضوع كامل الى العربي من صفحة ويكيبيديا .
في مسابقة  Pwn2Own  لسنة 2018 كانت هناك العديد من الإنجازات و تم إكتشاف العديد من الثغرات على العديد من الأنظمة و البرامج و كانت هناك أسماء علاقة و على أبرزها  Apple و Microsoft و Mozilla و Oracle.
و خلال المسابقة أثبت الهاكرز أصحاب القبعة البيضاء قوتهم الكبيرة جدا في إكتشاف الثغرات و برهنو أنه لا يوجد أي نظام لا يمكن إختراقه, بل الإختراق في ثواني معدودة ….!!! .
في اليوم الأول (14 مارس ، 2018) في Pwn2Own  ، إستهدف الهاكر Richard Zhu متصفح سفاري لشركة آبل   وإستطاع تخطي تقنية sandbox و لكنه فشل في هذا في 30 دقيقة الأولى المخصصة له .  ولكن عندما قام الهاكر  Richard Zhu بإستهداف  متصفح Edge من Microsoft عن طريق إستغلال 2 من الثغرات تمكن  من اختراق المتصفح  و حصل على  70،000 دولار.
و في نفس اليوم قام هاكر آخر من الفريق المشهور phoenhex بإستهداف  Oracle VirtualBox و بافعل تمكن منها و حصل Niklas على مبلغ  27،000 دولار .
ونجح هاكر آخر من فريق phoenhex و الذي يدعى Samuel Groß من  استهداف متصفح Apple Safariباستخدام خطأ تحسين JIT في المتصفح ، و تمكن  من تنفيذ التعليمات البررمجية RCE على المتصفح و بهذا حصل على 65000 دولار.

Confirmed! @5aelo used a JIT optimization bug in the browser, a macOS logic bug, & a kernel overwrite to execute code to successfully exploit Apple Safari. This chain earned him $65K & 6 points Master of Pwn points. pic.twitter.com/iLfNFnXzzs

— Zero Day Initiative (@thezdi) March 15, 2018

و في اليوم  الثاني ، (15 مارس 2018) ،قام  Richard Zhu بالعودة بقوة و قام بإختراق Firebox عبر Integer overflow و قام بتخطي الصلحيات.
و مقابل قرصنته ل Firefox حصل Richard Zhu على مبلغ  50،000 دولار  وكذلك جائزة ماجستير في Pwn. و في مجموعه حصل الهاكر على 120،000 دولار من قرصنة متصفح Microsoft و Edge و Firefox.

Congrats to @RZ_fluorescence on being named Master of Pwn for #Pwn2Own 2018! His exploits for Edge and Firefox earned him $120,000, this sweet jacket, and the trophy. We hope he returns in the future to defend his title. pic.twitter.com/ljKhmjJrHn

— Zero Day Initiative (@thezdi) March 16, 2018

ثم جاء Markus Gaasedelen و Nick Burnett و Patrick Biernat من Ret2 Systems Inc. حيث قاموا بإستهداف متصفح Safari على نظام macOS بنواة EoP . و وفقا لقواعد Pwn2Own , يجب على الهاكرز إختراق النظام أو البرنامج في أول ثلاثة محاولات ; و لكن تمكن الفريق من الإختراق في المحاولة الرابعة .
و في الأخير لم تتمكن شركة Ret2 Systems من الفوز بأي جائزة مالية ، ولكن قامت  Pwn2Own  بالإبلاغ  على الثغرات  لشركة Apple من خلال الطرق العادية لبرامج المكافئات.
و كان آخر فريق من الهاكرز هو MWR Labs حيث حاولوا تجريب حظهم  في Pwn2Own حيث قام الهاكرز  Alex Plaskett و Georgi Geshev و Fabi Beterke بإستهداف متصفح Safari و حاولو تخطي تقنية sandbox و بالفعل نجحو في هذا عبر buffer underflow و تمكنو من تخطي  sandbox و حصلو على  55،000 دولار و 5 نقاط ماستر Pwn.

و في الأخير كانت الجوائز المالية في Pwn2Own بقيمة  $267,000 و إستمرت المسابقة لمدة يومين و كان مجموع الثغرات كالتالي :

  • ثغرة على متصفح موزيلا فَيرْفُوكْس.
  • ثغرتين على أوراكل.
  • أربعة ثغرات على مايكروسوفت.
  • خمسة ثغرات على أبل.

يرجى العلم  أن المسابقة للهاكرز أصحاب القبعة البيضاء. مما يعني أنه سيتم الإبلاغ على الثغرات للشركات مقابل مبالغ مالية بالطبع . 

Leave A Reply

Your email address will not be published.