Pwn2Own es un concurso de piratería informática que se celebra anualmente en la conferencia de seguridad CanSecWest . [1] Celebrado por primera vez en abril de 2007 en Vancouver, [2] el concurso ahora se lleva a cabo dos veces al año, [3] la última vez en marzo de 2023. [4] Los concursantes tienen el desafío de explotar software ampliamente utilizado [5] y dispositivos móviles con vulnerabilidades previamente desconocidas . [6] Los ganadores del concurso reciben el dispositivo que explotaron y un premio en efectivo. [7] El concurso Pwn2Own sirve para demostrar la vulnerabilidad de los dispositivos y el software de uso generalizado y, al mismo tiempo, proporciona un punto de control sobre los avances realizados en seguridad desde el año anterior.
El primer concurso en 2007 [1] fue concebido y desarrollado por Dragos Ruiu en respuesta a su frustración por la falta de respuesta de Apple Inc. [8] al Mes de los errores de Apple y al Mes de los errores del kernel , [9] también como los comerciales de televisión de Apple que trivializaron la seguridad integrada en el sistema operativo Windows de la competencia . [10] En ese momento, existía la creencia generalizada de que, a pesar de estas demostraciones públicas de vulnerabilidades en los productos Apple, OS X era significativamente más seguro que cualquier otro competidor. [8] El 20 de marzo, aproximadamente tres semanas antes de CanSecWest ese año, Ruiu anunció el concurso Pwn2Own a los investigadores de seguridad en la lista de correo de DailyDave. [1] El concurso debía incluir dos MacBook Pro que dejaría en el piso de la conferencia conectados a su propio punto de acceso inalámbrico . Cualquier asistente a la conferencia que pudiera conectarse a este punto de acceso inalámbrico y explotar uno de los dispositivos podría abandonar la conferencia con esa computadora portátil. No hubo recompensa monetaria. [8] El nombre "Pwn2Own" se deriva del hecho de que los concursantes deben " pwn " o piratear el dispositivo para "poseerlo" o ganarlo.
El primer día de la conferencia en Vancouver, Columbia Británica , Ruiu pidió a Terri Forslof de Zero Day Initiative (ZDI) que participara en el concurso. [5] ZDI tiene un programa que compra ataques de día cero , los informa al proveedor afectado y los convierte en firmas para su propio sistema de detección de intrusiones en la red, aumentando su eficacia. Las vulnerabilidades vendidas a ZDI se hacen públicas sólo después de que el proveedor afectado haya emitido un parche para ellas. [11] Forslof acordó que ZDI ofreciera comprar cualquier vulnerabilidad utilizada en el concurso por un precio fijo de 10.000 dólares. [5] Posteriormente, el primer concurso expuso una falla de QuickTime de alto perfil , que fue revelada a Apple el 23 de abril y reparada a principios de mayo. [5] En 2008 se amplió el alcance del concurso Pwn2Own. [12] Los objetivos incluían tres computadoras portátiles que ejecutaban la instalación predeterminada de Windows Vista , OS X o Ubuntu Linux . [13] Los dispositivos móviles se agregaron en 2009. [6]
Para 2012, las reglas se cambiaron a una competencia de estilo capturar la bandera con un sistema de puntos, [14] At y Chrome fue explotado con éxito por primera vez por el competidor habitual VUPEN . [15] Después de retirarse del concurso ese año debido a nuevas reglas de divulgación, [16] en 2013 Google regresó como patrocinador y las reglas se cambiaron para exigir la divulgación completa de los exploits y las técnicas utilizadas. [17] En ese año (2013), un solo investigador pudo piratear Chrome, Firefox e IE , un truco trifecta. [18] Google dejó de ser patrocinador de Pwn2Own en 2015. [19]
En 2015, todos los navegadores web probados fueron pirateados con éxito y se ganaron todos los premios, por un total de 557.500 dólares. También se entregaron otros premios, como ordenadores portátiles, a los investigadores ganadores. [20] En 2018, la conferencia fue mucho más pequeña y patrocinada principalmente por Microsoft , después de que China prohibiera a sus investigadores de seguridad participar en el concurso. [21]
Pwn2Own continúa estando patrocinado por la Iniciativa Día Cero de Trend Micro , y ZDI informa las vulnerabilidades a los proveedores antes de hacer públicos los ataques. [3] "Uno de los concursos de piratería más grandes del mundo" según TechCrunch , [22] a partir de 2019 el concurso continúa realizándose varias veces al año. [7] Pwn2Own Tokyo se celebró del 6 al 7 de noviembre en Tokio, Japón , y se esperaba que repartiera 750.000 dólares en efectivo y premios. [22] Los hacks se centran en navegadores, máquinas virtuales, computadoras y teléfonos. [3] En 2019, el concurso añadió automóviles por primera vez, y se ofrecieron 900.000 dólares por hacks que explotaran el software de Tesla . [3] En 2019, el concurso añadió sistemas de control industrial. [23]
Los ganadores del concurso reciben el dispositivo que explotaron y un premio en efectivo. [7] Los ganadores también reciben una chaqueta "Masters" que celebra el año de su victoria.
La siguiente lista de trucos notables está incompleta.
El concurso se llevó a cabo del jueves 18 al sábado 20 de abril de 2007 en Vancouver. [2] El primer concurso tenía como objetivo resaltar la inseguridad del sistema operativo Mac OS X de Apple ya que, en ese momento, existía una creencia generalizada de que OS X era mucho más seguro que sus competidores. [8] En cuanto a las reglas, sólo dos portátiles MacBook Pro, uno de 13" y otro de 15", quedaron en el piso de la conferencia en CanSecWest y se conectaron a una red inalámbrica separada. Sólo se permitieron ciertos ataques y estas restricciones se fueron suavizando progresivamente a lo largo de los tres días de la conferencia. [8] El día 1 solo permitió ataques remotos, el día 2 incluyó ataques al navegador, mientras que el día 3 permitió ataques locales, donde los concursantes podían conectarse con una memoria USB o Bluetooth . Para ganar la MacBook Pro de 15", los concursantes deberán aumentar aún más sus privilegios a root después de obtener acceso con su exploit inicial.
Los portátiles no fueron pirateados el primer día. Después de que ZDI anunciara el premio de $ 10,000, Shane Macaulay llamó a su ex compañero de trabajo Dino Dai Zovi en Nueva York y lo instó a competir el segundo día. [2] En una noche, Dai Zovi encontró y aprovechó una vulnerabilidad previamente desconocida en una biblioteca QuickTime cargada por Safari. [24] A la mañana siguiente, Dai Zovi envió su código de explotación a Macaulay, [50] quien lo colocó en un sitio web y envió por correo electrónico a los organizadores del concurso un enlace al mismo. Al hacer clic, el enlace le dio a Macauley el control de la computadora portátil, ganando el concurso por poder para Dai Zovi, quien le dio a Macaulay la MacBook Pro de 15". [51] Dai Zovi vendió por separado la vulnerabilidad a ZDI por el premio de $10,000. [25]
Pwn2Own 2008 se llevó a cabo del jueves 26 al sábado 28 de marzo de 2008. [13] Después del exitoso concurso de 2007, el alcance del concurso se amplió para incluir una gama más amplia de sistemas operativos y navegadores. El concurso demostraría la inseguridad generalizada de todo el software de uso generalizado por parte de los consumidores. [12] Dragos refinó el concurso con la ayuda de un amplio panel de expertos de la industria y el concurso fue administrado por ZDI, quien nuevamente ofrecería comprar las vulnerabilidades después de su demostración. [13] Al igual que con todas las vulnerabilidades que compra ZDI, los detalles de las vulnerabilidades utilizadas en Pwn2Own se proporcionarían a los proveedores afectados y los detalles públicos se retendrían hasta que un parche estuviera disponible. [11] Todos los concursantes que demostraron con éxito exploits en el concurso podrían vender sus vulnerabilidades a ZDI por premios de 20.000 dólares el primer día, 10.000 dólares el segundo día y 5.000 dólares el tercer día. [12] Como en el concurso del año anterior, sólo se permitieron ciertos ataques cada día. Los objetivos incluían tres computadoras portátiles que ejecutaban la instalación predeterminada de Windows Vista Ultimate SP1 , Mac OS X 10.5.2 o Ubuntu Linux 7.10 . [13] El día 1 solo se produjeron ataques remotos; Los concursantes tuvieron que unirse a la misma red que la computadora portátil objetivo y realizar su ataque sin interacción del usuario y sin autenticación. El día 2 se incluyeron ataques al navegador y a la mensajería instantánea , así como ataques a sitios web maliciosos con enlaces enviados a los organizadores para que hicieran clic. [12] El día 3 se incluyeron aplicaciones de clientes de terceros. Los concursantes podrían apuntar a software popular de terceros [12] , como navegadores, Adobe Flash , Java , Apple Mail , iChat , Skype , AOL y Microsoft Silverlight . [13]
En cuanto al resultado, la computadora portátil con OS X fue explotada el segundo día del concurso con un exploit para el navegador Safari coescrito por Charlie Miller , [27] Jake Honoroff y Mark Daniel de Independent Security Evaluators. Su exploit apuntó a un subcomponente de código abierto del navegador Safari. [26] [52] La computadora portátil con Windows Vista SP1 fue explotada el tercer día del concurso con un exploit para Adobe Flash coescrito por Shane Macaulay, Alexander Sotirov y Derek Callaway. [28] [53] Después del concurso, Adobe reveló que habían descubierto conjuntamente la misma vulnerabilidad internamente y que habían estado trabajando en un parche en el momento de Pwn2Own. [54] La computadora portátil que ejecuta Ubuntu no fue explotada.
Pwn2Own 2009 se llevó a cabo durante los tres días de CanSecWest, desde el jueves 18 de marzo hasta el sábado 20 de marzo de 2009. Después de tener considerablemente más éxito en los navegadores web que cualquier otra categoría de software en 2007, el tercer Pwn2Own se centró en los navegadores populares utilizados en los consumidores. Sistemas operativos de escritorio. Agregó otra categoría de dispositivos móviles que los concursantes tuvieron el desafío de piratear mediante muchos vectores de ataque remotos, incluidos el correo electrónico, los mensajes SMS y la navegación por sitios web. [6] [55] A todos los concursantes que demostraron exploits exitosos en el concurso ZDI les ofreció recompensas por las vulnerabilidades subyacentes, $ 5,000 por exploits de navegador y $ 10,000 por exploits móviles. [56]
En cuanto a las reglas del navegador web, los objetivos del navegador fueron Internet Explorer 8 , Firefox y Chrome instalados en un Sony Vaio con Windows 7 Beta y Safari y Firefox instalados en una MacBook con Mac OS X. Todos los navegadores estaban completamente parcheados y en configuraciones predeterminadas en el primero. día del concurso. Como en años anteriores, el concurso de superficie de ataque se amplió a lo largo de los tres días. [56] El día 1, los concursantes tuvieron que apuntar a la funcionalidad en el navegador predeterminado sin acceso a ningún complemento. El día 2, se incluyeron Adobe Flash, Java, Microsoft .NET Framework y QuickTime. El día 3, se incluyeron otros complementos populares de terceros, como Adobe Reader . Se permitieron varios ganadores por objetivo, pero solo el primer concursante que explotara cada computadora portátil lo obtendría. Los objetivos de dispositivos móviles incluían teléfonos BlackBerry , Android , Apple iPhone 2.0 ( T-Mobile G1 ), Symbian (Nokia N95 ) y Windows Mobile ( HTC Touch ) en sus configuraciones predeterminadas.
Al igual que en el concurso de navegadores, la superficie de ataque disponible para los concursantes se amplió a lo largo de tres días. Para demostrar que pudieron comprometer con éxito el dispositivo, los concursantes tuvieron que demostrar que podían recopilar datos confidenciales del dispositivo móvil o incurrir en algún tipo de pérdida financiera por parte del propietario del dispositivo móvil. [56] El día 1, el dispositivo podía recibir SMS, MMS y correo electrónico, pero los mensajes no se podían leer. Wifi (si está activado de forma predeterminada), Bluetooth (si está activado de forma predeterminada) y la pila de radio también estaban dentro del alcance. El día 2, se pudieron abrir y leer SMS, MMS y correos electrónicos. Se activó Wifi y se pudo activar Bluetooth y emparejarlo con unos auriculares cercanos (no se permiten emparejamientos adicionales). El día 3 permitió un nivel de interacción del usuario con las aplicaciones predeterminadas. Se permitieron múltiples ganadores por dispositivo, pero solo el primer concursante que explotara cada dispositivo móvil lo obtendría (junto con un contrato telefónico de un año).
En cuanto al resultado, basándose en el creciente interés por competir en 2009, ZDI organizó una selección aleatoria para determinar qué equipo fue primero contra cada objetivo. [56] El primer concursante seleccionado fue Charlie Miller . Explotó Safari en OS X sin la ayuda de ningún complemento del navegador. [29] [27] En entrevistas después de ganar el concurso, Miller enfatizó que si bien solo le tomó unos minutos ejecutar su exploit contra Safari, le tomó muchos días investigar y desarrollar el exploit que usó. [57] Un investigador identificado sólo como Nils fue seleccionado para perseguir a Miller. Nils ejecutó con éxito un exploit contra Internet Explorer 8 en Windows 7 Beta. Al escribir este exploit, Nils tuvo que eludir las mitigaciones antiexplotación que Microsoft había implementado en Internet Explorer 8 y Windows 7, incluida la Protección de ejecución de datos (DEP) y la Aleatorización del diseño del espacio de direcciones (ASLR). [30] [58] Nils continuó probando los otros navegadores. Aunque Miller ya había explotado Safari en OS X, Nils explotó esta plataforma nuevamente [31] y luego pasó a explotar Firefox con éxito. [32] Cerca del final del primer día, Julien Tinnes y Sami Koivu (remoto) explotaron con éxito Firefox y Safari en OS X con una vulnerabilidad en Java. En ese momento, OS X tenía Java habilitado de forma predeterminada, lo que permitía una explotación confiable de esa plataforma. Sin embargo, debido a que ya había informado de las vulnerabilidades al proveedor, la participación de Tinnes quedó fuera de las reglas del concurso y no pudo ser recompensada. [59] Los siguientes días del concurso no atrajeron a ningún concursante adicional. Chrome, así como todos los dispositivos móviles, quedó sin explotar en Pwn2Own 2009. [60]
La competencia comenzó el 24 de marzo de 2010 y tuvo un premio total en efectivo de 100.000 dólares estadounidenses. [61] El 15 de marzo, nueve días antes de que comenzara el concurso, Apple lanzó dieciséis parches para WebKit y Safari. [62] En cuanto al software a explotar, 40.000 dólares de los 100.000 dólares se reservaron para navegadores web, donde cada objetivo vale 10.000 dólares. [61] El día 1 incluyó Microsoft Internet Explorer 8 en Windows 7 , Mozilla Firefox 3.6 en Windows 7, Google Chrome 4 en Windows 7 y Apple Safari 4 en Mac OS X Snow Leopard . El día 2 incluyó Microsoft Internet Explorer 8 en Windows Vista , Mozilla Firefox 3 en Windows Vista, Google Chrome 4 en Windows Vista y Apple Safari 4 en Mac OS X Snow Leopard. El día 3 incluyó Microsoft Internet Explorer 8 en Windows XP , Mozilla Firefox 3 en Windows XP, Google Chrome 4 en Windows XP y Apple Safari 4 en Mac OS X Snow Leopard. Se asignaron 60.000 dólares del premio total en efectivo de 100.000 dólares a la parte del concurso correspondiente a los teléfonos móviles; cada objetivo valía 15.000 dólares. [61] Estos incluían Apple iPhone 3GS , RIM BlackBerry Bold 9700 , dispositivo Nokia E72 con Symbian y HTC Nexus One con Android .
El navegador web Opera quedó fuera de los concursos como objetivo: el equipo de ZDI argumentó que Opera tiene una cuota de mercado baja y que Chrome y Safari sólo están incluidos "debido a su presencia predeterminada en varias plataformas móviles". Sin embargo, el motor de renderizado de Opera, Presto , está presente en millones de plataformas móviles. [63] [64] [65] [66]
Entre los exploits exitosos se encuentran cuando Charlie Miller hackeó con éxito Safari 4 en Mac OS X. [33] Nils hackeó Firefox 3.6 en Windows 7 de 64 bits [33] utilizando una vulnerabilidad de corrupción de memoria y evitando ASLR y DEP, después de lo cual Mozilla parcheó la seguridad. falla en Firefox 3.6.3. [67] Ralf-Philipp Weinmann y Vincenzo Iozzo piratearon el iPhone 3GS omitiendo las firmas de códigos digitales utilizadas en el iPhone para verificar que el código en la memoria es de Apple. [33] Peter Vreugdenhil explotó Internet Explorer 8 en Windows 7 mediante el uso de dos vulnerabilidades que implicaban eludir ASLR y evadir DEP . [33]
El concurso de 2011 se llevó a cabo del 9 al 11 de marzo durante la conferencia CanSecWest en Vancouver. [68] Los navegadores web objetivos para el concurso de 2011 incluyeron Microsoft Internet Explorer, Apple Safari, Mozilla Firefox y Google Chrome. Una novedad en el concurso Pwn2Own fue el hecho de que se permitió una nueva superficie de ataque para penetrar teléfonos móviles, específicamente a través de bandas base de teléfonos móviles . Los objetivos de los teléfonos móviles fueron Dell Venue Pro con Windows Phone 7 , iPhone 4 con iOS , BlackBerry Torch 9800 con BlackBerry OS 6.0 y Nexus S con Android 2.3. Varios equipos se registraron para el concurso de navegadores de escritorio. Para Apple Safari, los competidores registrados incluyeron a VUPEN, Anon_07, Team Anon y Charlie Miller. Mozilla Firefox incluía a Sam Thomas y Anonymous_1. Los equipos de Microsoft Internet Explorer incluyeron a Stephen Fewer, VUPEN, Sam Thomas y Ahmed M Sleet. Los equipos de Google Chrome incluyeron a Moatz Khader, Team Anon y Ahmed M Sleet. Para la categoría de navegadores móviles, se registraron los siguientes equipos. Para el intento de pirateo del iPhone de Apple, los equipos incluyeron a Anon_07, Dion Blazakis y Charlie Miller, Team Anon, Anonymous_1 y Ahmed M Sleet. Para hackear el RIM Blackberry los equipos fueronAnonymous_1, Team Anon y Ahmed M Sleet. Para piratear el Samsung Nexus S , los equipos incluyeron a Jon Oberheide, Anonymous_1, Anon_07 y Team Anonymous. Para piratear Dell Venue Pro , los equipos incluyeron a George Hotz , Team Anonymous, Anonymous_1 y Ahmed M Sleet.
Durante el primer día de competición, Safari e Internet Explorer fueron derrotados por los investigadores. Safari tenía la versión 5.0.3 instalada en un Mac OS X 10.6.6 completamente parcheado. La empresa de seguridad francesa VUPEN fue la primera en atacar el navegador. Internet Explorer era una versión 8 de 32 bits instalada en Windows 7 Service Pack 1 de 64 bits. El investigador de seguridad Stephen Fewer de Harmony Security logró explotar IE. Esto se demostró al igual que con Safari. [34] En el día 2, el iPhone 4 y el Blackberry Torch 9800 fueron explotados. El iPhone ejecutaba iOS 4.2.1, sin embargo, la falla existe en la versión 4.3 de iOS. [35] Los investigadores de seguridad Charlie Miller y Dion Blazakis pudieron obtener acceso a la libreta de direcciones del iPhone a través de una vulnerabilidad en Mobile Safari al visitar su página web plagada de exploits. [35] El teléfono Blackberry Torch 9800 ejecutaba BlackBerry OS 6.0.0.246. El equipo de Vincenzo Iozzo, Willem Pinckaers y Ralf Philipp Weinmann aprovechó una vulnerabilidad en el navegador web basado en WebKit de Blackberry visitando su página web previamente preparada. [35] Firefox, Android y Windows Phone 7 estaban programados para ser probados durante el día 2, pero los investigadores de seguridad que habían sido elegidos para estas plataformas no intentaron ningún exploit. Sam Thomas había sido seleccionado para probar Firefox, pero se retiró afirmando que su exploit no era estable. Los investigadores que habían sido elegidos para probar Android y Windows Phone 7 no se presentaron. [35] Ningún equipo se presentó durante el tercer día. Chrome y Firefox no fueron pirateados.
Para 2012, las reglas se cambiaron a una competencia estilo capturar la bandera con un sistema de puntos. [14] El nuevo formato provocó que Charlie Miller , exitoso en el evento en años anteriores, decidiera no asistir, ya que requería escribir "en el acto" las hazañas que, según Miller, favorecían a equipos más grandes. [16] Los piratas informáticos atacaron a los cuatro principales navegadores. [dieciséis]
En Pwn2Own 2012, Chrome fue explotado con éxito por primera vez. VUPEN se negó a revelar cómo escaparon de la caja de arena y dijeron que venderían la información. [15] A continuación se explotó con éxito Internet Explorer 9 en Windows 7. [36] Firefox fue el tercer navegador pirateado utilizando un exploit de día cero . [37]
Safari en Mac OS X Lion fue el único navegador que quedó en pie al final de la parte del día cero de pwn2own. Las versiones de Safari que no estaban completamente parcheadas y no se ejecutaban en Mac OS X Snow Leopard se vieron comprometidas durante la parte CVE de pwn2own. En Lion se introdujeron mejoras significativas en las mitigaciones de seguridad dentro de Mac OS X. [69] [70] [ cita necesaria ]
Google se retiró del patrocinio del evento porque las reglas de 2012 no exigían la divulgación completa de los exploits por parte de los ganadores, específicamente los exploits para salir de un entorno aislado y los exploits demostrados que no "ganaron". [16] Pwn2Own defendió la decisión, diciendo que creía que ningún pirata informático intentaría explotar Chrome si sus métodos tuvieran que ser revelados. [16] Google ofreció un concurso separado "Pwnium" que ofrecía hasta 60.000 dólares por exploits específicos de Chrome. Se garantizaba que las vulnerabilidades utilizadas fuera de Chrome se informarían inmediatamente al proveedor adecuado. [16] Sergey Glazunov y un adolescente identificado como "PinkiePie" ganaron cada uno 60.000 dólares por exploits que eludieron la zona de pruebas de seguridad. [71] [72] Google emitió una solución para los usuarios de Chrome en menos de 24 horas después de que se demostraran los exploits de Pwnium. [73]
En 2013, Google volvió a ser patrocinador y se cambiaron las reglas para exigir la divulgación completa de los exploits y las técnicas utilizadas. [17] El concurso Mobile Pwn2Own 2013 se llevó a cabo del 13 al 14 de noviembre de 2013, durante la Conferencia PacSec 2013 en Tokio. [74] Los navegadores web Google Chrome, Internet Explorer y Firefox, junto con Windows 8 y Java, fueron explotados. [75] Adobe también se unió al concurso, añadiendo Reader y Flash. [38] Apple Safari en Mountain Lion no fue el objetivo ya que no apareció ningún equipo.
La empresa de seguridad francesa VUPEN ha explotado con éxito un Internet Explorer 10 completamente actualizado en Microsoft Surface Pro ejecutando una versión de 64 bits de Windows 8 y omitió completamente el modo protegido sin bloquear ni congelar el navegador. [38] El equipo de VUPEN luego explotó Mozilla Firefox, Adobe Flash y Oracle Java. [39] Pinkie Pie ganó 50.000 dólares y Google lanzó actualizaciones de Chrome el 14 de noviembre para abordar las vulnerabilidades explotadas. [40] Nils y Jon de MWRLabs lograron explotar Google Chrome utilizando WebKit y fallas del kernel de Windows para evitar la zona de pruebas de Chrome y ganaron $100,000. George Hotz aprovechó Adobe Acrobat Reader y escapó de la zona de pruebas para ganar 70.000 dólares. James Forshaw, Joshua Drake y Ben Murphy explotaron de forma independiente Oracle Java para ganar 20.000 dólares cada uno.
En el concurso móvil, los concursantes ganaron 117.500 dólares de un premio acumulado de 300.000 dólares. [74]
En Pwn2Own 2014 en marzo [76] [77] se llevó a cabo en Vancouver en la Conferencia CanSecWest y fue patrocinado por Hewlett-Packard . [78] Los cuatro navegadores objetivo recayeron en los investigadores, [79] y los concursantes en general ganaron 850.000 dólares de un fondo disponible de 1.085.000 dólares. [80] VUPEN aprovechó con éxito Internet Explorer 11 , Adobe Reader XI, Google Chrome, Adobe Flash y Mozilla Firefox completamente actualizados en una versión de 64 bits de Windows 8.1 , para ganar un total de 400.000 dólares, el pago más alto para un solo competidor. fecha. La empresa utilizó un total de 11 vulnerabilidades distintas de día cero. [81]
Entre otras hazañas exitosas en 2014, Internet Explorer 11 fue explotada por Sebastian Apelt y Andreas Schmidt por un premio de 100.000 dólares. [78] Apple Safari en Mac OS X Mavericks y Adobe Flash en Windows 8.1 fueron explotados con éxito por Liang Chen de Keen Team y Zeguang Zhao de team509. [82] Mozilla Firefox fue explotado tres veces el primer día, y una vez más el segundo día, y HP otorgó a los investigadores 50.000 dólares por cada falla de Firefox revelada ese año. [83] Tanto Vupen como un participante anónimo explotaron Google Chrome. Vupen ganó 100.000 dólares por el crack, mientras que el participante anónimo vio reducido su premio de 60.000 dólares, ya que su ataque se basó en una vulnerabilidad revelada el día anterior en el concurso Pwnium de Google. [79] Además, Nico Joly del equipo VUPEN tomó el Windows Phone (el Lumia 1520 ), pero no pudo obtener el control total del sistema. [84] En 2014, Keen Lab hackeó Windows 8.1 Adobe Flash en 16 segundos, así como el sistema OSX Mavericks Safari en 20 segundos. [85]
Todos los premios disponibles fueron reclamados en marzo de 2015 en Vancouver, y todos los navegadores fueron pirateados por un total de $557,500 y otros premios. El principal hacker resultó ser Jung Hoon Lee, quien sacó "IE 11, tanto la versión estable como la beta de Google Chrome y Apple Safari" y ganó $225,000 en premios. Otros hacks incluyeron a Team509 y KeenTeem irrumpiendo en Adobe Flash, y otras interrupciones en Adobe Reader. En total, hubo 5 errores en el sistema operativo Windows, 4 en Internet Explorer 11, 3 en Firefox, Adobe Reader y Adobe Flash, 2 en Safari y 1 en Chrome. [86] Google dejó de ser patrocinador de Pwn2Own en 2015. [19]
En el concurso de marzo de 2016, "cada una de las entradas ganadoras pudo evitar las mitigaciones del sandboxing aprovechando las vulnerabilidades en los sistemas operativos subyacentes". [87] En 2016, Chrome, Microsoft Edge y Safari fueron pirateados. [88] Según Brian Gorenc, gerente de Investigación de Vulnerabilidad de HPE , habían elegido no incluir Firefox ese año porque "querían centrarse en los navegadores que [habían] realizado importantes mejoras de seguridad en el último año". [89] En 2016, Qihoo360 hackeó con éxito un Pixel en menos de 60 segundos. [90]
En marzo de 2017, en Vancouver, por primera vez, los piratas informáticos irrumpieron en la zona de pruebas de la máquina virtual de VMWare. [91] En 2017, Chrome no tuvo ningún hack exitoso (aunque solo un equipo intentó apuntar a Chrome), los navegadores posteriores que obtuvieron mejores resultados fueron, en orden, Firefox, Safari y Edge. [92] Mobile Pwn2Own se llevó a cabo los días 1 y 2 de noviembre de 2017. [93] Representantes de Apple, Google y Huawei estuvieron en el concurso. [94] Varios teléfonos inteligentes, incluidos los que utilizan el software iOS 11.1 de Apple, también fueron pirateados con éxito. Los "11 ataques exitosos" fueron contra el iPhone 7, el Huawei Mate 9 Pro y el Samsung Galaxy S8 . Google Pixel no fue pirateado. [93] En total, ZDI ese año otorgó 833.000 dólares para descubrir 51 errores de día cero. [95] El equipo Qihoo 360 ganó el primer premio en 2017. [90]
En 2018, la conferencia fue mucho más pequeña y patrocinada principalmente por Microsoft. China había prohibido a sus investigadores de seguridad participar en el concurso, a pesar de que los ciudadanos chinos ganaron en el pasado, y había prohibido divulgar vulnerabilidades de seguridad a extranjeros. [21] En particular, Keen Labs de Tencent y 360Vulcan de Qihoo 360 no ingresaron, ni ningún otro ciudadano chino. [95] Posteriormente se diseñó una Copa Tianfu para ser una "versión china de Pwn2Own", que también se lleva a cabo dos veces al año. [96] Además, poco antes de la conferencia de 2018, Microsoft había parcheado varias vulnerabilidades en Edge, lo que provocó que muchos equipos se retiraran. Sin embargo, se encontraron ciertas aperturas en Edge, Safari, Firefox y más. [97] No se realizaron intentos de pirateo contra Chrome, [21] [98] aunque la recompensa ofrecida fue la misma que para Edge. [99] Los piratas informáticos finalmente recibieron 267.000 dólares. [97] Si bien muchos productos de Microsoft tenían grandes recompensas disponibles para cualquiera que pudiera obtener acceso a través de ellos, solo Edge fue explotado con éxito, y también Safari y Firefox. [21]
En marzo de 2019 se llevó a cabo en Vancouver en la conferencia CanSecWest, con categorías que incluyen VMware ESXi , VMware Workstation , Oracle VirtualBox , Chrome, Microsoft Edge y Firefox, así como Tesla. [3] Tesla presentó su nuevo sedán Modelo 3 , con un par de investigadores ganando $375,000 y el auto que piratearon después de encontrar un error severo de aleatorización de memoria en el sistema de información y entretenimiento del auto . [22] También fue el primer año en que se permitió la piratería de dispositivos en la categoría de automatización del hogar . [42]
En octubre de 2019, Politico informó que la próxima edición de Pwn2Own había agregado sistemas de control industrial. [23] Pwn2Own Tokyo se celebró del 6 al 7 de noviembre y se esperaba que repartiera 750.000 dólares en efectivo y premios. Se ingresó al Portal de Facebook , al igual que el Amazon Echo Show 5 , un Google Nest Hub Max, una Amazon Cloud Cam y una Nest Cam IQ Indoor. También se presentó el kit de realidad virtual Oculus Quest . [22] En 2019, un equipo ganó 60 000 dólares pirateando un Amazon Echo Show 5. Lo hicieron pirateando la "brecha de parches" que unía software antiguo parcheado en otras plataformas, ya que la pantalla inteligente usaba una versión antigua de Chromium . [100] [7] El equipo compartió los hallazgos con Amazon, [42] que dijo que estaba investigando el ataque y que tomaría "las medidas apropiadas". [100]
Una nueva edición del concurso Pwn2Own tuvo lugar del 21 al 23 de enero de 2020 en Miami en la conferencia S4, con sistemas de control industrial y objetivos SCADA únicamente. [101] Los concursantes recibieron más de 250.000 dólares durante el evento de tres días [102] mientras los piratas informáticos demostraban múltiples exploits en muchas de las principales plataformas ICS. Steven Seeley y Chris Anastasio, un dúo de hackers que se hacen llamar Team Incite, recibieron el título de Master of Pwn [103] con ganancias de 80.000 dólares y 92,5 puntos Master of Pwn. En total, el concurso tuvo 14 demostraciones ganadoras, nueve victorias parciales debido a colisiones de errores y dos participaciones fallidas. [104]
La edición de primavera de Pwn2Own 2020 se llevó a cabo del 18 al 19 de marzo de 2020. Tesla regresó nuevamente como patrocinador y tenía un Modelo 3 como objetivo disponible. [105] Debido a COVID-19, la conferencia se trasladó a un evento virtual. La Iniciativa Día Cero decidió permitir la participación remota. Esto permitió a los investigadores enviar sus hazañas al programa antes del evento. Luego, los investigadores de ZDI ejecutaron los exploits desde sus hogares y grabaron la pantalla y la llamada de Zoom con el concursante. El concurso contó con seis demostraciones exitosas y otorgó $270,000 durante el evento de dos días mientras se compraban 13 errores únicos en Adobe Reader, Apple Safari y macOS, Microsoft Windows y Oracle VirtualBox. [106] El dúo formado por Amat Cama y Richard Zhu (Team Fluoroacetate) fue coronado Master of Pwn con ganancias de 90.000 dólares. [107]
La edición de otoño de Pwn2Own, normalmente conocida como Pwn2Own Tokyo, se llevó a cabo del 5 al 7 de noviembre de 2020. Mientras continuaba el bloqueo por COVID-19, el concurso se llevó a cabo nuevamente de manera virtual y se tituló Pwn2Own Tokyo (Live From Toronto). Los investigadores de ZDI en Toronto organizaron el evento y otros se conectaron desde casa. Este concurso también tuvo como objetivo la inclusión de servidores de red de área de almacenamiento (SAN). [108] El evento tuvo ocho entradas ganadoras, nueve victorias parciales debido a colisiones de errores y dos intentos fallidos. [109] En total, el concurso otorgó 136.500 dólares por 23 errores únicos. El equipo Flashback (Pedro Ribeiro y Radek Domanski) obtuvo el título de Maestro de Pwn con dos exploits exitosos para enrutadores de red de área amplia (WAN). [110]
Del 6 al 8 de abril de 2021, el concurso Pwn2Own se llevó a cabo en Austin y de forma virtual. El evento de este año se amplió al agregar la categoría Comunicaciones empresariales, que incluye Microsoft Teams y Zoom Messenger. [111] El primer día del concurso vio Apple Safari, [112] Microsoft Exchange, Microsoft Teams, Windows 10, [113] y Ubuntu todos comprometidos. Zoom Messenger se vio comprometido el segundo día del concurso con un exploit sin clic. [114] Parallels Desktop, Google Chrome y Microsoft Edge también fueron explotados con éxito durante el concurso. Se otorgaron más de 1.200.000 dólares estadounidenses por 23 días 0 únicos. Master of Pwn fue un empate a tres bandas entre el equipo DEVCORE, OV y el equipo de Daan Keuper y Thijs Alkemade. [115]
La segunda edición de Pwn2Own Miami se llevó a cabo entre el 19 y el 21 de abril de 2022 en Filmore en South Beach Miami. Durante los tres días del concurso, se otorgaron 400.000 dólares por 26 días 0 únicos. [116] El equipo de Daan Keuper y Thijs Alkemade de Computest Sector 7 recibió Master of Pwn con ganancias de 90.000 dólares. [117] Lo más destacado del concurso fue una demostración de Daan y Thijs omitiendo la verificación de aplicaciones confiables en el estándar OPC UA .NET de la Fundación OPC. [118]
Pwn2Own regresó a Vancouver del 18 al 20 de mayo de 2022 para celebrar el 15.º aniversario [119] del concurso. Durante el evento de tres días, la ZDI otorgó 1.155.000 dólares estadounidenses por 25 vulnerabilidades únicas de día 0. El primer día del concurso estableció un récord de concurso en un solo día de 800.000 dólares otorgados por diversos exploits, incluidas tres demostraciones distintas de Microsoft Teams. [120] Uno de estos exploits no requirió interacción del usuario y podría usarse para comprometer a toda una organización. También se realizaron demostraciones exitosas contra los navegadores web Mozilla Firefox y Apple Safari. [121] El segundo día del concurso se destacó por una explotación remota del sistema de información y entretenimiento de Tesla. Los investigadores del equipo Synacktiv pudieron encender de forma remota los limpiaparabrisas, abrir el maletero y encender los faros del vehículo. [122] En el último día del evento se demostraron con éxito tres de las seis escaladas de privilegios de Windows 11. Los seis exploits utilizaron errores únicos. El teléfono insignia de Samsung, el Galaxy S22, con el último Android 13, fue pirateado en menos de un minuto. Una vez que se sumaron todos los puntos, el equipo de STAR Labs recibió el título de Master of Pwn con 270.000 dólares y 27 puntos. [123] [124]