stringtranslate.com

Pwn2Own

Pwn2Own es un concurso de piratería informática que se celebra anualmente en la conferencia de seguridad CanSecWest . [1] Celebrado por primera vez en abril de 2007 en Vancouver, [2] el concurso ahora se lleva a cabo dos veces al año, [3] la última vez en marzo de 2023. [4] Los concursantes tienen el desafío de explotar software ampliamente utilizado [5] y dispositivos móviles con vulnerabilidades previamente desconocidas . [6] Los ganadores del concurso reciben el dispositivo que explotaron y un premio en efectivo. [7] El concurso Pwn2Own sirve para demostrar la vulnerabilidad de los dispositivos y el software de uso generalizado y, al mismo tiempo, proporciona un punto de control sobre los avances realizados en seguridad desde el año anterior.

Historia

Orígenes

El primer concurso en 2007 [1] fue concebido y desarrollado por Dragos Ruiu en respuesta a su frustración por la falta de respuesta de Apple Inc. [8] al Mes de los errores de Apple y al Mes de los errores del kernel , [9] también como los comerciales de televisión de Apple que trivializaron la seguridad integrada en el sistema operativo Windows de la competencia . [10] En ese momento, existía la creencia generalizada de que, a pesar de estas demostraciones públicas de vulnerabilidades en los productos Apple, OS X era significativamente más seguro que cualquier otro competidor. [8] El 20 de marzo, aproximadamente tres semanas antes de CanSecWest ese año, Ruiu anunció el concurso Pwn2Own a los investigadores de seguridad en la lista de correo de DailyDave. [1] El concurso debía incluir dos MacBook Pro que dejaría en el piso de la conferencia conectados a su propio punto de acceso inalámbrico . Cualquier asistente a la conferencia que pudiera conectarse a este punto de acceso inalámbrico y explotar uno de los dispositivos podría abandonar la conferencia con esa computadora portátil. No hubo recompensa monetaria. [8] El nombre "Pwn2Own" se deriva del hecho de que los concursantes deben " pwn " o piratear el dispositivo para "poseerlo" o ganarlo.

El primer día de la conferencia en Vancouver, Columbia Británica , Ruiu pidió a Terri Forslof de Zero Day Initiative (ZDI) que participara en el concurso. [5] ZDI tiene un programa que compra ataques de día cero , los informa al proveedor afectado y los convierte en firmas para su propio sistema de detección de intrusiones en la red, aumentando su eficacia. Las vulnerabilidades vendidas a ZDI se hacen públicas sólo después de que el proveedor afectado haya emitido un parche para ellas. [11] Forslof acordó que ZDI ofreciera comprar cualquier vulnerabilidad utilizada en el concurso por un precio fijo de 10.000 dólares. [5] Posteriormente, el primer concurso expuso una falla de QuickTime de alto perfil , que fue revelada a Apple el 23 de abril y reparada a principios de mayo. [5] En 2008 se amplió el alcance del concurso Pwn2Own. [12] Los objetivos incluían tres computadoras portátiles que ejecutaban la instalación predeterminada de Windows Vista , OS X o Ubuntu Linux . [13] Los dispositivos móviles se agregaron en 2009. [6]

Para 2012, las reglas se cambiaron a una competencia de estilo capturar la bandera con un sistema de puntos, [14] At y Chrome fue explotado con éxito por primera vez por el competidor habitual VUPEN . [15] Después de retirarse del concurso ese año debido a nuevas reglas de divulgación, [16] en 2013 Google regresó como patrocinador y las reglas se cambiaron para exigir la divulgación completa de los exploits y las técnicas utilizadas. [17] En ese año (2013), un solo investigador pudo piratear Chrome, Firefox e IE , un truco trifecta. [18] Google dejó de ser patrocinador de Pwn2Own en 2015. [19]

Años recientes

En 2015, todos los navegadores web probados fueron pirateados con éxito y se ganaron todos los premios, por un total de 557.500 dólares. También se entregaron otros premios, como ordenadores portátiles, a los investigadores ganadores. [20] En 2018, la conferencia fue mucho más pequeña y patrocinada principalmente por Microsoft , después de que China prohibiera a sus investigadores de seguridad participar en el concurso. [21]

Pwn2Own continúa estando patrocinado por la Iniciativa Día Cero de Trend Micro , y ZDI informa las vulnerabilidades a los proveedores antes de hacer públicos los ataques. [3] "Uno de los concursos de piratería más grandes del mundo" según TechCrunch , [22] a partir de 2019 el concurso continúa realizándose varias veces al año. [7] Pwn2Own Tokyo se celebró del 6 al 7 de noviembre en Tokio, Japón , y se esperaba que repartiera 750.000 dólares en efectivo y premios. [22] Los hacks se centran en navegadores, máquinas virtuales, computadoras y teléfonos. [3] En 2019, el concurso añadió automóviles por primera vez, y se ofrecieron 900.000 dólares por hacks que explotaran el software de Tesla . [3] En 2019, el concurso añadió sistemas de control industrial. [23]

Sistema de premios

Los ganadores del concurso reciben el dispositivo que explotaron y un premio en efectivo. [7] Los ganadores también reciben una chaqueta "Masters" que celebra el año de su victoria.

Lista de hazañas exitosas

La siguiente lista de trucos notables está incompleta.

Concursos anuales

2007

El concurso se llevó a cabo del jueves 18 al sábado 20 de abril de 2007 en Vancouver. [2] El primer concurso tenía como objetivo resaltar la inseguridad del sistema operativo Mac OS X de Apple ya que, en ese momento, existía una creencia generalizada de que OS X era mucho más seguro que sus competidores. [8] En cuanto a las reglas, sólo dos portátiles MacBook Pro, uno de 13" y otro de 15", quedaron en el piso de la conferencia en CanSecWest y se conectaron a una red inalámbrica separada. Sólo se permitieron ciertos ataques y estas restricciones se fueron suavizando progresivamente a lo largo de los tres días de la conferencia. [8] El día 1 solo permitió ataques remotos, el día 2 incluyó ataques al navegador, mientras que el día 3 permitió ataques locales, donde los concursantes podían conectarse con una memoria USB o Bluetooth . Para ganar la MacBook Pro de 15", los concursantes deberán aumentar aún más sus privilegios a root después de obtener acceso con su exploit inicial.

Los portátiles no fueron pirateados el primer día. Después de que ZDI anunciara el premio de $ 10,000, Shane Macaulay llamó a su ex compañero de trabajo Dino Dai Zovi en Nueva York y lo instó a competir el segundo día. [2] En una noche, Dai Zovi encontró y aprovechó una vulnerabilidad previamente desconocida en una biblioteca QuickTime cargada por Safari. [24] A la mañana siguiente, Dai Zovi envió su código de explotación a Macaulay, [50] quien lo colocó en un sitio web y envió por correo electrónico a los organizadores del concurso un enlace al mismo. Al hacer clic, el enlace le dio a Macauley el control de la computadora portátil, ganando el concurso por poder para Dai Zovi, quien le dio a Macaulay la MacBook Pro de 15". [51] Dai Zovi vendió por separado la vulnerabilidad a ZDI por el premio de $10,000. [25]

2008

Pwn2Own 2008 se llevó a cabo del jueves 26 al sábado 28 de marzo de 2008. [13] Después del exitoso concurso de 2007, el alcance del concurso se amplió para incluir una gama más amplia de sistemas operativos y navegadores. El concurso demostraría la inseguridad generalizada de todo el software de uso generalizado por parte de los consumidores. [12] Dragos refinó el concurso con la ayuda de un amplio panel de expertos de la industria y el concurso fue administrado por ZDI, quien nuevamente ofrecería comprar las vulnerabilidades después de su demostración. [13] Al igual que con todas las vulnerabilidades que compra ZDI, los detalles de las vulnerabilidades utilizadas en Pwn2Own se proporcionarían a los proveedores afectados y los detalles públicos se retendrían hasta que un parche estuviera disponible. [11] Todos los concursantes que demostraron con éxito exploits en el concurso podrían vender sus vulnerabilidades a ZDI por premios de 20.000 dólares el primer día, 10.000 dólares el segundo día y 5.000 dólares el tercer día. [12] Como en el concurso del año anterior, sólo se permitieron ciertos ataques cada día. Los objetivos incluían tres computadoras portátiles que ejecutaban la instalación predeterminada de Windows Vista Ultimate SP1 , Mac OS X 10.5.2 o Ubuntu Linux 7.10 . [13] El día 1 solo se produjeron ataques remotos; Los concursantes tuvieron que unirse a la misma red que la computadora portátil objetivo y realizar su ataque sin interacción del usuario y sin autenticación. El día 2 se incluyeron ataques al navegador y a la mensajería instantánea , así como ataques a sitios web maliciosos con enlaces enviados a los organizadores para que hicieran clic. [12] El día 3 se incluyeron aplicaciones de clientes de terceros. Los concursantes podrían apuntar a software popular de terceros [12] , como navegadores, Adobe Flash , Java , Apple Mail , iChat , Skype , AOL y Microsoft Silverlight . [13]

En cuanto al resultado, la computadora portátil con OS X fue explotada el segundo día del concurso con un exploit para el navegador Safari coescrito por Charlie Miller , [27] Jake Honoroff y Mark Daniel de Independent Security Evaluators. Su exploit apuntó a un subcomponente de código abierto del navegador Safari. [26] [52] La computadora portátil con Windows Vista SP1 fue explotada el tercer día del concurso con un exploit para Adobe Flash coescrito por Shane Macaulay, Alexander Sotirov y Derek Callaway. [28] [53] Después del concurso, Adobe reveló que habían descubierto conjuntamente la misma vulnerabilidad internamente y que habían estado trabajando en un parche en el momento de Pwn2Own. [54] La computadora portátil que ejecuta Ubuntu no fue explotada.

2009

Pwn2Own 2009 se llevó a cabo durante los tres días de CanSecWest, desde el jueves 18 de marzo hasta el sábado 20 de marzo de 2009. Después de tener considerablemente más éxito en los navegadores web que cualquier otra categoría de software en 2007, el tercer Pwn2Own se centró en los navegadores populares utilizados en los consumidores. Sistemas operativos de escritorio. Agregó otra categoría de dispositivos móviles que los concursantes tuvieron el desafío de piratear mediante muchos vectores de ataque remotos, incluidos el correo electrónico, los mensajes SMS y la navegación por sitios web. [6] [55] A todos los concursantes que demostraron exploits exitosos en el concurso ZDI les ofreció recompensas por las vulnerabilidades subyacentes, $ 5,000 por exploits de navegador y $ 10,000 por exploits móviles. [56]

En cuanto a las reglas del navegador web, los objetivos del navegador fueron Internet Explorer 8 , Firefox y Chrome instalados en un Sony Vaio con Windows 7 Beta y Safari y Firefox instalados en una MacBook con Mac OS X. Todos los navegadores estaban completamente parcheados y en configuraciones predeterminadas en el primero. día del concurso. Como en años anteriores, el concurso de superficie de ataque se amplió a lo largo de los tres días. [56] El día 1, los concursantes tuvieron que apuntar a la funcionalidad en el navegador predeterminado sin acceso a ningún complemento. El día 2, se incluyeron Adobe Flash, Java, Microsoft .NET Framework y QuickTime. El día 3, se incluyeron otros complementos populares de terceros, como Adobe Reader . Se permitieron varios ganadores por objetivo, pero solo el primer concursante que explotara cada computadora portátil lo obtendría. Los objetivos de dispositivos móviles incluían teléfonos BlackBerry , Android , Apple iPhone 2.0 ( T-Mobile G1 ), Symbian (Nokia N95 ) y Windows Mobile ( HTC Touch ) en sus configuraciones predeterminadas.

Al igual que en el concurso de navegadores, la superficie de ataque disponible para los concursantes se amplió a lo largo de tres días. Para demostrar que pudieron comprometer con éxito el dispositivo, los concursantes tuvieron que demostrar que podían recopilar datos confidenciales del dispositivo móvil o incurrir en algún tipo de pérdida financiera por parte del propietario del dispositivo móvil. [56] El día 1, el dispositivo podía recibir SMS, MMS y correo electrónico, pero los mensajes no se podían leer. Wifi (si está activado de forma predeterminada), Bluetooth (si está activado de forma predeterminada) y la pila de radio también estaban dentro del alcance. El día 2, se pudieron abrir y leer SMS, MMS y correos electrónicos. Se activó Wifi y se pudo activar Bluetooth y emparejarlo con unos auriculares cercanos (no se permiten emparejamientos adicionales). El día 3 permitió un nivel de interacción del usuario con las aplicaciones predeterminadas. Se permitieron múltiples ganadores por dispositivo, pero solo el primer concursante que explotara cada dispositivo móvil lo obtendría (junto con un contrato telefónico de un año).

En cuanto al resultado, basándose en el creciente interés por competir en 2009, ZDI organizó una selección aleatoria para determinar qué equipo fue primero contra cada objetivo. [56] El primer concursante seleccionado fue Charlie Miller . Explotó Safari en OS X sin la ayuda de ningún complemento del navegador. [29] [27] En entrevistas después de ganar el concurso, Miller enfatizó que si bien solo le tomó unos minutos ejecutar su exploit contra Safari, le tomó muchos días investigar y desarrollar el exploit que usó. [57] Un investigador identificado sólo como Nils fue seleccionado para perseguir a Miller. Nils ejecutó con éxito un exploit contra Internet Explorer 8 en Windows 7 Beta. Al escribir este exploit, Nils tuvo que eludir las mitigaciones antiexplotación que Microsoft había implementado en Internet Explorer 8 y Windows 7, incluida la Protección de ejecución de datos (DEP) y la Aleatorización del diseño del espacio de direcciones (ASLR). [30] [58] Nils continuó probando los otros navegadores. Aunque Miller ya había explotado Safari en OS X, Nils explotó esta plataforma nuevamente [31] y luego pasó a explotar Firefox con éxito. [32] Cerca del final del primer día, Julien Tinnes y Sami Koivu (remoto) explotaron con éxito Firefox y Safari en OS X con una vulnerabilidad en Java. En ese momento, OS X tenía Java habilitado de forma predeterminada, lo que permitía una explotación confiable de esa plataforma. Sin embargo, debido a que ya había informado de las vulnerabilidades al proveedor, la participación de Tinnes quedó fuera de las reglas del concurso y no pudo ser recompensada. [59] Los siguientes días del concurso no atrajeron a ningún concursante adicional. Chrome, así como todos los dispositivos móviles, quedó sin explotar en Pwn2Own 2009. [60]

2010

La competencia comenzó el 24 de marzo de 2010 y tuvo un premio total en efectivo de 100.000 dólares estadounidenses. [61] El 15 de marzo, nueve días antes de que comenzara el concurso, Apple lanzó dieciséis parches para WebKit y Safari. [62] En cuanto al software a explotar, 40.000 dólares de los 100.000 dólares se reservaron para navegadores web, donde cada objetivo vale 10.000 dólares. [61] El día 1 incluyó Microsoft Internet Explorer 8 en Windows 7 , Mozilla Firefox 3.6 en Windows 7, Google Chrome 4 en Windows 7 y Apple Safari 4 en Mac OS X Snow Leopard . El día 2 incluyó Microsoft Internet Explorer 8 en Windows Vista , Mozilla Firefox 3 en Windows Vista, Google Chrome 4 en Windows Vista y Apple Safari 4 en Mac OS X Snow Leopard. El día 3 incluyó Microsoft Internet Explorer 8 en Windows XP , Mozilla Firefox 3 en Windows XP, Google Chrome 4 en Windows XP y Apple Safari 4 en Mac OS X Snow Leopard. Se asignaron 60.000 dólares del premio total en efectivo de 100.000 dólares a la parte del concurso correspondiente a los teléfonos móviles; cada objetivo valía 15.000 dólares. [61] Estos incluían Apple iPhone 3GS , RIM BlackBerry Bold 9700 , dispositivo Nokia E72 con Symbian y HTC Nexus One con Android .

El navegador web Opera quedó fuera de los concursos como objetivo: el equipo de ZDI argumentó que Opera tiene una cuota de mercado baja y que Chrome y Safari sólo están incluidos "debido a su presencia predeterminada en varias plataformas móviles". Sin embargo, el motor de renderizado de Opera, Presto , está presente en millones de plataformas móviles. [63] [64] [65] [66]

Entre los exploits exitosos se encuentran cuando Charlie Miller hackeó con éxito Safari 4 en Mac OS X. [33] Nils hackeó Firefox 3.6 en Windows 7 de 64 bits [33] utilizando una vulnerabilidad de corrupción de memoria y evitando ASLR y DEP, después de lo cual Mozilla parcheó la seguridad. falla en Firefox 3.6.3. [67] Ralf-Philipp Weinmann y Vincenzo Iozzo piratearon el iPhone 3GS omitiendo las firmas de códigos digitales utilizadas en el iPhone para verificar que el código en la memoria es de Apple. [33] Peter Vreugdenhil explotó Internet Explorer 8 en Windows 7 mediante el uso de dos vulnerabilidades que implicaban eludir ASLR y evadir DEP . [33]

2011

El concurso de 2011 se llevó a cabo del 9 al 11 de marzo durante la conferencia CanSecWest en Vancouver. [68] Los navegadores web objetivos para el concurso de 2011 incluyeron Microsoft Internet Explorer, Apple Safari, Mozilla Firefox y Google Chrome. Una novedad en el concurso Pwn2Own fue el hecho de que se permitió una nueva superficie de ataque para penetrar teléfonos móviles, específicamente a través de bandas base de teléfonos móviles . Los objetivos de los teléfonos móviles fueron Dell Venue Pro con Windows Phone 7 , iPhone 4 con iOS , BlackBerry Torch 9800 con BlackBerry OS 6.0 y Nexus S con Android 2.3. Varios equipos se registraron para el concurso de navegadores de escritorio. Para Apple Safari, los competidores registrados incluyeron a VUPEN, Anon_07, Team Anon y Charlie Miller. Mozilla Firefox incluía a Sam Thomas y Anonymous_1. Los equipos de Microsoft Internet Explorer incluyeron a Stephen Fewer, VUPEN, Sam Thomas y Ahmed M Sleet. Los equipos de Google Chrome incluyeron a Moatz Khader, Team Anon y Ahmed M Sleet. Para la categoría de navegadores móviles, se registraron los siguientes equipos. Para el intento de pirateo del iPhone de Apple, los equipos incluyeron a Anon_07, Dion Blazakis y Charlie Miller, Team Anon, Anonymous_1 y Ahmed M Sleet. Para hackear el RIM Blackberry los equipos fueronAnonymous_1, Team Anon y Ahmed M Sleet. Para piratear el Samsung Nexus S , los equipos incluyeron a Jon Oberheide, Anonymous_1, Anon_07 y Team Anonymous. Para piratear Dell Venue Pro , los equipos incluyeron a George Hotz , Team Anonymous, Anonymous_1 y Ahmed M Sleet.

Durante el primer día de competición, Safari e Internet Explorer fueron derrotados por los investigadores. Safari tenía la versión 5.0.3 instalada en un Mac OS X 10.6.6 completamente parcheado. La empresa de seguridad francesa VUPEN fue la primera en atacar el navegador. Internet Explorer era una versión 8 de 32 bits instalada en Windows 7 Service Pack 1 de 64 bits. El investigador de seguridad Stephen Fewer de Harmony Security logró explotar IE. Esto se demostró al igual que con Safari. [34] En el día 2, el iPhone 4 y el Blackberry Torch 9800 fueron explotados. El iPhone ejecutaba iOS 4.2.1, sin embargo, la falla existe en la versión 4.3 de iOS. [35] Los investigadores de seguridad Charlie Miller y Dion Blazakis pudieron obtener acceso a la libreta de direcciones del iPhone a través de una vulnerabilidad en Mobile Safari al visitar su página web plagada de exploits. [35] El teléfono Blackberry Torch 9800 ejecutaba BlackBerry OS 6.0.0.246. El equipo de Vincenzo Iozzo, Willem Pinckaers y Ralf Philipp Weinmann aprovechó una vulnerabilidad en el navegador web basado en WebKit de Blackberry visitando su página web previamente preparada. [35] Firefox, Android y Windows Phone 7 estaban programados para ser probados durante el día 2, pero los investigadores de seguridad que habían sido elegidos para estas plataformas no intentaron ningún exploit. Sam Thomas había sido seleccionado para probar Firefox, pero se retiró afirmando que su exploit no era estable. Los investigadores que habían sido elegidos para probar Android y Windows Phone 7 no se presentaron. [35] Ningún equipo se presentó durante el tercer día. Chrome y Firefox no fueron pirateados.

2012

Para 2012, las reglas se cambiaron a una competencia estilo capturar la bandera con un sistema de puntos. [14] El nuevo formato provocó que Charlie Miller , exitoso en el evento en años anteriores, decidiera no asistir, ya que requería escribir "en el acto" las hazañas que, según Miller, favorecían a equipos más grandes. [16] Los piratas informáticos atacaron a los cuatro principales navegadores. [dieciséis]

En Pwn2Own 2012, Chrome fue explotado con éxito por primera vez. VUPEN se negó a revelar cómo escaparon de la caja de arena y dijeron que venderían la información. [15] A continuación se explotó con éxito Internet Explorer 9 en Windows 7. [36] Firefox fue el tercer navegador pirateado utilizando un exploit de día cero . [37]

Safari en Mac OS X Lion fue el único navegador que quedó en pie al final de la parte del día cero de pwn2own. Las versiones de Safari que no estaban completamente parcheadas y no se ejecutaban en Mac OS X Snow Leopard se vieron comprometidas durante la parte CVE de pwn2own. En Lion se introdujeron mejoras significativas en las mitigaciones de seguridad dentro de Mac OS X. [69] [70] [ cita necesaria ]

Controversia con Google

Google se retiró del patrocinio del evento porque las reglas de 2012 no exigían la divulgación completa de los exploits por parte de los ganadores, específicamente los exploits para salir de un entorno aislado y los exploits demostrados que no "ganaron". [16] Pwn2Own defendió la decisión, diciendo que creía que ningún pirata informático intentaría explotar Chrome si sus métodos tuvieran que ser revelados. [16] Google ofreció un concurso separado "Pwnium" que ofrecía hasta 60.000 dólares por exploits específicos de Chrome. Se garantizaba que las vulnerabilidades utilizadas fuera de Chrome se informarían inmediatamente al proveedor adecuado. [16] Sergey Glazunov y un adolescente identificado como "PinkiePie" ganaron cada uno 60.000 dólares por exploits que eludieron la zona de pruebas de seguridad. [71] [72] Google emitió una solución para los usuarios de Chrome en menos de 24 horas después de que se demostraran los exploits de Pwnium. [73]

2013

En 2013, Google volvió a ser patrocinador y se cambiaron las reglas para exigir la divulgación completa de los exploits y las técnicas utilizadas. [17] El concurso Mobile Pwn2Own 2013 se llevó a cabo del 13 al 14 de noviembre de 2013, durante la Conferencia PacSec 2013 en Tokio. [74] Los navegadores web Google Chrome, Internet Explorer y Firefox, junto con Windows 8 y Java, fueron explotados. [75] Adobe también se unió al concurso, añadiendo Reader y Flash. [38] Apple Safari en Mountain Lion no fue el objetivo ya que no apareció ningún equipo.

La empresa de seguridad francesa VUPEN ha explotado con éxito un Internet Explorer 10 completamente actualizado en Microsoft Surface Pro ejecutando una versión de 64 bits de Windows 8 y omitió completamente el modo protegido sin bloquear ni congelar el navegador. [38] El equipo de VUPEN luego explotó Mozilla Firefox, Adobe Flash y Oracle Java. [39] Pinkie Pie ganó 50.000 dólares y Google lanzó actualizaciones de Chrome el 14 de noviembre para abordar las vulnerabilidades explotadas. [40] Nils y Jon de MWRLabs lograron explotar Google Chrome utilizando WebKit y fallas del kernel de Windows para evitar la zona de pruebas de Chrome y ganaron $100,000. George Hotz aprovechó Adobe Acrobat Reader y escapó de la zona de pruebas para ganar 70.000 dólares. James Forshaw, Joshua Drake y Ben Murphy explotaron de forma independiente Oracle Java para ganar 20.000 dólares cada uno.

En el concurso móvil, los concursantes ganaron 117.500 dólares de un premio acumulado de 300.000 dólares. [74]

2014

En Pwn2Own 2014 en marzo [76] [77] se llevó a cabo en Vancouver en la Conferencia CanSecWest y fue patrocinado por Hewlett-Packard . [78] Los cuatro navegadores objetivo recayeron en los investigadores, [79] y los concursantes en general ganaron 850.000 dólares de un fondo disponible de 1.085.000 dólares. [80] VUPEN aprovechó con éxito Internet Explorer 11 , Adobe Reader XI, Google Chrome, Adobe Flash y Mozilla Firefox completamente actualizados en una versión de 64 bits de Windows 8.1 , para ganar un total de 400.000 dólares, el pago más alto para un solo competidor. fecha. La empresa utilizó un total de 11 vulnerabilidades distintas de día cero. [81]

Entre otras hazañas exitosas en 2014, Internet Explorer 11 fue explotada por Sebastian Apelt y Andreas Schmidt por un premio de 100.000 dólares. [78] Apple Safari en Mac OS X Mavericks y Adobe Flash en Windows 8.1 fueron explotados con éxito por Liang Chen de Keen Team y Zeguang Zhao de team509. [82] Mozilla Firefox fue explotado tres veces el primer día, y una vez más el segundo día, y HP otorgó a los investigadores 50.000 dólares por cada falla de Firefox revelada ese año. [83] Tanto Vupen como un participante anónimo explotaron Google Chrome. Vupen ganó 100.000 dólares por el crack, mientras que el participante anónimo vio reducido su premio de 60.000 dólares, ya que su ataque se basó en una vulnerabilidad revelada el día anterior en el concurso Pwnium de Google. [79] Además, Nico Joly del equipo VUPEN tomó el Windows Phone (el Lumia 1520 ), pero no pudo obtener el control total del sistema. [84] En 2014, Keen Lab hackeó Windows 8.1 Adobe Flash en 16 segundos, así como el sistema OSX Mavericks Safari en 20 segundos. [85]

2015-2017

Todos los premios disponibles fueron reclamados en marzo de 2015 en Vancouver, y todos los navegadores fueron pirateados por un total de $557,500 y otros premios. El principal hacker resultó ser Jung Hoon Lee, quien sacó "IE 11, tanto la versión estable como la beta de Google Chrome y Apple Safari" y ganó $225,000 en premios. Otros hacks incluyeron a Team509 y KeenTeem irrumpiendo en Adobe Flash, y otras interrupciones en Adobe Reader. En total, hubo 5 errores en el sistema operativo Windows, 4 en Internet Explorer 11, 3 en Firefox, Adobe Reader y Adobe Flash, 2 en Safari y 1 en Chrome. [86] Google dejó de ser patrocinador de Pwn2Own en 2015. [19]

En el concurso de marzo de 2016, "cada una de las entradas ganadoras pudo evitar las mitigaciones del sandboxing aprovechando las vulnerabilidades en los sistemas operativos subyacentes". [87] En 2016, Chrome, Microsoft Edge y Safari fueron pirateados. [88] Según Brian Gorenc, gerente de Investigación de Vulnerabilidad de HPE , habían elegido no incluir Firefox ese año porque "querían centrarse en los navegadores que [habían] realizado importantes mejoras de seguridad en el último año". [89] En 2016, Qihoo360 hackeó con éxito un Pixel en menos de 60 segundos. [90]

En marzo de 2017, en Vancouver, por primera vez, los piratas informáticos irrumpieron en la zona de pruebas de la máquina virtual de VMWare. [91] En 2017, Chrome no tuvo ningún hack exitoso (aunque solo un equipo intentó apuntar a Chrome), los navegadores posteriores que obtuvieron mejores resultados fueron, en orden, Firefox, Safari y Edge. [92] Mobile Pwn2Own se llevó a cabo los días 1 y 2 de noviembre de 2017. [93] Representantes de Apple, Google y Huawei estuvieron en el concurso. [94] Varios teléfonos inteligentes, incluidos los que utilizan el software iOS 11.1 de Apple, también fueron pirateados con éxito. Los "11 ataques exitosos" fueron contra el iPhone 7, el Huawei Mate 9 Pro y el Samsung Galaxy S8 . Google Pixel no fue pirateado. [93] En total, ZDI ese año otorgó 833.000 dólares para descubrir 51 errores de día cero. [95] El equipo Qihoo 360 ganó el primer premio en 2017. [90]

2018

En 2018, la conferencia fue mucho más pequeña y patrocinada principalmente por Microsoft. China había prohibido a sus investigadores de seguridad participar en el concurso, a pesar de que los ciudadanos chinos ganaron en el pasado, y había prohibido divulgar vulnerabilidades de seguridad a extranjeros. [21] En particular, Keen Labs de Tencent y 360Vulcan de Qihoo 360 no ingresaron, ni ningún otro ciudadano chino. [95] Posteriormente se diseñó una Copa Tianfu para ser una "versión china de Pwn2Own", que también se lleva a cabo dos veces al año. [96] Además, poco antes de la conferencia de 2018, Microsoft había parcheado varias vulnerabilidades en Edge, lo que provocó que muchos equipos se retiraran. Sin embargo, se encontraron ciertas aperturas en Edge, Safari, Firefox y más. [97] No se realizaron intentos de pirateo contra Chrome, [21] [98] aunque la recompensa ofrecida fue la misma que para Edge. [99] Los piratas informáticos finalmente recibieron 267.000 dólares. [97] Si bien muchos productos de Microsoft tenían grandes recompensas disponibles para cualquiera que pudiera obtener acceso a través de ellos, solo Edge fue explotado con éxito, y también Safari y Firefox. [21]

2019

En marzo de 2019 se llevó a cabo en Vancouver en la conferencia CanSecWest, con categorías que incluyen VMware ESXi , VMware Workstation , Oracle VirtualBox , Chrome, Microsoft Edge y Firefox, así como Tesla. [3] Tesla presentó su nuevo sedán Modelo 3 , con un par de investigadores ganando $375,000 y el auto que piratearon después de encontrar un error severo de aleatorización de memoria en el sistema de información y entretenimiento del auto . [22] También fue el primer año en que se permitió la piratería de dispositivos en la categoría de automatización del hogar . [42]

En octubre de 2019, Politico informó que la próxima edición de Pwn2Own había agregado sistemas de control industrial. [23] Pwn2Own Tokyo se celebró del 6 al 7 de noviembre y se esperaba que repartiera 750.000 dólares en efectivo y premios. Se ingresó al Portal de Facebook , al igual que el Amazon Echo Show 5 , un Google Nest Hub Max, una Amazon Cloud Cam y una Nest Cam IQ Indoor. También se presentó el kit de realidad virtual Oculus Quest . [22] En 2019, un equipo ganó 60 000 dólares pirateando un Amazon Echo Show 5. Lo hicieron pirateando la "brecha de parches" que unía software antiguo parcheado en otras plataformas, ya que la pantalla inteligente usaba una versión antigua de Chromium . [100] [7] El equipo compartió los hallazgos con Amazon, [42] que dijo que estaba investigando el ataque y que tomaría "las medidas apropiadas". [100]

2020

Una nueva edición del concurso Pwn2Own tuvo lugar del 21 al 23 de enero de 2020 en Miami en la conferencia S4, con sistemas de control industrial y objetivos SCADA únicamente. [101] Los concursantes recibieron más de 250.000 dólares durante el evento de tres días [102] mientras los piratas informáticos demostraban múltiples exploits en muchas de las principales plataformas ICS. Steven Seeley y Chris Anastasio, un dúo de hackers que se hacen llamar Team Incite, recibieron el título de Master of Pwn [103] con ganancias de 80.000 dólares y 92,5 puntos Master of Pwn. En total, el concurso tuvo 14 demostraciones ganadoras, nueve victorias parciales debido a colisiones de errores y dos participaciones fallidas. [104]

La edición de primavera de Pwn2Own 2020 se llevó a cabo del 18 al 19 de marzo de 2020. Tesla regresó nuevamente como patrocinador y tenía un Modelo 3 como objetivo disponible. [105] Debido a COVID-19, la conferencia se trasladó a un evento virtual. La Iniciativa Día Cero decidió permitir la participación remota. Esto permitió a los investigadores enviar sus hazañas al programa antes del evento. Luego, los investigadores de ZDI ejecutaron los exploits desde sus hogares y grabaron la pantalla y la llamada de Zoom con el concursante. El concurso contó con seis demostraciones exitosas y otorgó $270,000 durante el evento de dos días mientras se compraban 13 errores únicos en Adobe Reader, Apple Safari y macOS, Microsoft Windows y Oracle VirtualBox. [106] El dúo formado por Amat Cama y Richard Zhu (Team Fluoroacetate) fue coronado Master of Pwn con ganancias de 90.000 dólares. [107]

La edición de otoño de Pwn2Own, normalmente conocida como Pwn2Own Tokyo, se llevó a cabo del 5 al 7 de noviembre de 2020. Mientras continuaba el bloqueo por COVID-19, el concurso se llevó a cabo nuevamente de manera virtual y se tituló Pwn2Own Tokyo (Live From Toronto). Los investigadores de ZDI en Toronto organizaron el evento y otros se conectaron desde casa. Este concurso también tuvo como objetivo la inclusión de servidores de red de área de almacenamiento (SAN). [108] El evento tuvo ocho entradas ganadoras, nueve victorias parciales debido a colisiones de errores y dos intentos fallidos. [109] En total, el concurso otorgó 136.500 dólares por 23 errores únicos. El equipo Flashback (Pedro Ribeiro y Radek Domanski) obtuvo el título de Maestro de Pwn con dos exploits exitosos para enrutadores de red de área amplia (WAN). [110]

2021

Del 6 al 8 de abril de 2021, el concurso Pwn2Own se llevó a cabo en Austin y de forma virtual. El evento de este año se amplió al agregar la categoría Comunicaciones empresariales, que incluye Microsoft Teams y Zoom Messenger. [111] El primer día del concurso vio Apple Safari, [112] Microsoft Exchange, Microsoft Teams, Windows 10, [113] y Ubuntu todos comprometidos. Zoom Messenger se vio comprometido el segundo día del concurso con un exploit sin clic. [114] Parallels Desktop, Google Chrome y Microsoft Edge también fueron explotados con éxito durante el concurso. Se otorgaron más de 1.200.000 dólares estadounidenses por 23 días 0 únicos. Master of Pwn fue un empate a tres bandas entre el equipo DEVCORE, OV y el equipo de Daan Keuper y Thijs Alkemade. [115]

2022

Miami (19 al 21 de abril)

La segunda edición de Pwn2Own Miami se llevó a cabo entre el 19 y el 21 de abril de 2022 en Filmore en South Beach Miami. Durante los tres días del concurso, se otorgaron 400.000 dólares por 26 días 0 únicos. [116] El equipo de Daan Keuper y Thijs Alkemade de Computest Sector 7 recibió Master of Pwn con ganancias de 90.000 dólares. [117] Lo más destacado del concurso fue una demostración de Daan y Thijs omitiendo la verificación de aplicaciones confiables en el estándar OPC UA .NET de la Fundación OPC. [118]

Vancouver (18-20 de mayo)

Pwn2Own regresó a Vancouver del 18 al 20 de mayo de 2022 para celebrar el 15.º aniversario [119] del concurso. Durante el evento de tres días, la ZDI otorgó 1.155.000 dólares estadounidenses por 25 vulnerabilidades únicas de día 0. El primer día del concurso estableció un récord de concurso en un solo día de 800.000 dólares otorgados por diversos exploits, incluidas tres demostraciones distintas de Microsoft Teams. [120] Uno de estos exploits no requirió interacción del usuario y podría usarse para comprometer a toda una organización. También se realizaron demostraciones exitosas contra los navegadores web Mozilla Firefox y Apple Safari. [121] El segundo día del concurso se destacó por una explotación remota del sistema de información y entretenimiento de Tesla. Los investigadores del equipo Synacktiv pudieron encender de forma remota los limpiaparabrisas, abrir el maletero y encender los faros del vehículo. [122] En el último día del evento se demostraron con éxito tres de las seis escaladas de privilegios de Windows 11. Los seis exploits utilizaron errores únicos. El teléfono insignia de Samsung, el Galaxy S22, con el último Android 13, fue pirateado en menos de un minuto. Una vez que se sumaron todos los puntos, el equipo de STAR Labs recibió el título de Master of Pwn con 270.000 dólares y 27 puntos. [123] [124]

Toronto (6 al 9 de diciembre)


Ver también

Referencias

  1. ^ abc Ruiu, Dragos (20 de marzo de 2007). "PWN to OWN (era Re: Cómo Apple orquestó un ataque web contra investigadores)". Archivado desde el original el 27 de mayo de 2012 . Consultado el 1 de abril de 2012 .
  2. ^ abc Goodin, Dan (20 de abril de 2007). "El exploit de día cero de Safari obtiene un premio de 10.000 dólares". Vancouver: el registro . Consultado el 10 de abril de 2010 .
  3. ^ abcde Goodin, Dan (14 de enero de 2019), El concurso Pwn2Own pagará 900.000 dólares por hacks que exploten este Tesla, Ars Technica , consultado el 16 de agosto de 2019
  4. ^ Paul Ducklin (9 de abril de 2021). "Pwn2Own 2021: Zoom, Teams, Exchange, Chrome y Edge" de propiedad total"". sophos.com .
  5. ^ abcd Forslof, Terri (3 de mayo de 2007). "Apple publica un parche para la falla de QuickTime". Archivado desde el original el 25 de enero de 2012 . Consultado el 1 de abril de 2012 .
  6. ^ abc Forslof, Terri (25 de febrero de 2009). "Pwn2Own 2009". Laboratorios Digitales de Vacunas . Punto de inflexión . Archivado desde el original el 29 de marzo de 2010 . Consultado el 11 de abril de 2010 .
  7. ^ abcd Whittaker, Zack (9 de noviembre de 2019), Dos investigadores de seguridad ganaron 60.000 dólares por piratear un Amazon Echo., TechCrunch , consultado el 14 de noviembre de 2019
  8. ^ abcde Naraine, Ryan (26 de marzo de 2007). "¿Cuánto tiempo puede sobrevivir una Mac a la jungla de hackers?". ZDNet . Archivado desde el original el 25 de enero de 2013 . Consultado el 1 de abril de 2012 .
  9. ^ Naraine, Ryan (1 de febrero de 2007). "Desarrollador de Mac reflexionando sobre el equivalente de ZERT en OS X". ZDNet . Consultado el 1 de abril de 2012 .
  10. ^ Orchant, Marc (6 de febrero de 2007). "¿Cancelar o permitir? Buen golpe en Vista UAC". ZDNet . Consultado el 1 de abril de 2012 .
  11. ^ ab "Acerca de la iniciativa Día Cero". Iniciativa Día Cero. Archivado desde el original el 18 de marzo de 2012 . Consultado el 1 de abril de 2012 .
  12. ^ abcde Forslof, Terri (19 de marzo de 2008). "CanSecWest PWN a OWN 2008 (actualizado)". Archivado desde el original el 14 de marzo de 2012 . Consultado el 1 de abril de 2012 .
  13. ^ abcde Ruiu, Dragos (20 de marzo de 2008). "CanSecWest 2008 PWN2OWN - 26-28 de marzo" . Consultado el 1 de abril de 2012 .
  14. ^ ab "Iniciativa Día Cero". Archivado desde el original el 1 de marzo de 2012.
  15. ^ abc Naraine, Ryan (7 de marzo de 2012), Pwn2Own 2012: la zona de pruebas del navegador Google Chrome es la primera en caer, ZDnet
  16. ^ abcdef Naraine, Ryan (7 de marzo de 2012), Charlie Miller se salta Pwn2Own mientras las nuevas reglas cambian el juego de piratería, ZDnet
  17. ^ ab Demuestre sus habilidades de seguridad: Pwn2Own y Pwnium 3, The Chromium Blog, 28 de enero de 2013
  18. ^ "Chrome, Firefox e IE caen en Pwn2Own 2013". eSecurityPlanet . 2013-03-07 . Consultado el 6 de mayo de 2022 .
  19. ^ ab Keizer, Gregg (14 de septiembre de 2016), Google ofrece 200.000 dólares como premio mayor en un nuevo desafío de pirateo de Android, Computer World , consultado el 28 de noviembre de 2019
  20. ^ ab "Pwn2Own 2015: el año en que todos los navegadores web dejaron de funcionar | ZDNet". ZDNet . Consultado el 25 de noviembre de 2015 .
  21. ^ abcd Armasu, Lucian (16 de marzo de 2018). "Pwn2Own 2018: cambios de enfoque en las vulnerabilidades del kernel a medida que los navegadores se vuelven más difíciles de piratear". Hardware de Tom . Grupo de compras . Consultado el 27 de septiembre de 2018 .
  22. ^ abcd Whittaker, Zack (28 de agosto de 2019), Hackers probarán el portal de Facebook para piratear contenido, TechCrunch , consultado el 16 de agosto de 2019
  23. ^ ab Starks, Tim (29 de octubre de 2019), "El futuro y el pasado de la energía y el comercio", Politico , consultado el 28 de noviembre de 2019
  24. ^ abc "Vulnerabilidad de sobrescritura de memoria aritmética del puntero Apple QTJava toQTPointer()" . Consultado el 31 de marzo de 2012 .
  25. ^ abc Vaas, Lisa (20 de abril de 2007). "Mac pirateado a través del navegador Safari en el concurso Pwn-2-Own". Semana electrónica . Archivado desde el original el 22 de enero de 2013 . Consultado el 10 de marzo de 2011 .
  26. ^ abcd "Apple Safari WebKit PCRE que maneja la vulnerabilidad de desbordamiento de enteros". 16 de abril de 2008. Archivado desde el original el 20 de noviembre de 2012 . Consultado el 1 de abril de 2012 .
  27. ^ abcd Schofield, Jack (18 de marzo de 2009). "Pwn2Own 2009: Mac cae en segundos". El guardián . Consultado el 7 de enero de 2021 .
  28. ^ abcd "Vulnerabilidad de uso de objeto no válido en Adobe Flash Player DeclareFunction2". 8 de abril de 2008 . Consultado el 1 de abril de 2012 .
  29. ^ ab "Vulnerabilidad de corrupción de memoria en el análisis del formato de fuente compacto de Apple OS X ATSServer". 13 de mayo de 2009 . Consultado el 1 de abril de 2012 .
  30. ^ ab Forslof, Terri (18 de marzo de 2009). "Pwn2Own 2009 Día 1: Safari, Internet Explorer y Firefox eliminados por cuatro exploits de día cero". Archivado desde el original el 22 de marzo de 2009 . Consultado el 1 de abril de 2009 .
  31. ^ ab "Vulnerabilidad de ejecución de código de análisis de SVGList con formato incorrecto en Apple Safari". 13 de mayo de 2009 . Consultado el 1 de abril de 2012 .
  32. ^ ab "Vulnerabilidad de corrupción de memoria de Mozilla Firefox XUL _moveToEdgeShift()". 30 de marzo de 2009 . Consultado el 1 de abril de 2012 .
  33. ^ abcdefghi Mills, Elinor (24 de marzo de 2010). "iPhone, Safari, IE 8, Firefox pirateados en el concurso CanSecWest". CNET . Archivado desde el original el 19 de enero de 2013 . Consultado el 10 de abril de 2010 .
  34. ^ abc "pwn2own día uno: Safari, caída de IE8, Chrome sin oposición". Arstechnica. 10 de marzo de 2011.
  35. ^ abcdefghi "Pwn2Own día 2: iPhone, BlackBerry derrotados; Chrome y Firefox no se presentan". Arstechnica . 11 de marzo de 2011.
  36. ^ ab Goodin, Dan (8 de marzo de 2012), IE 9, en el Windows más seguro hasta el momento, el próximo navegador que caerá en un concurso de hackers, Ars Technica
  37. ^ abc Los investigadores piratean el Firefox más nuevo con una falla de día cero, ZDnet , 9 de marzo de 2012 Archivado el 13 de marzo de 2012 en Wayback Machine.
  38. ^ a B C Iain Thomson. "Pwn2Own: los hacks de IE10, Firefox, Chrome, Reader y Java obtienen 500.000 dólares". El registro .
  39. ^ a b C "Pwn2Own 2013". Empresa Hewlett Packard. 2 de marzo de 2013. Archivado desde el original el 10 de marzo de 2013 . Consultado el 10 de marzo de 2013 .
  40. ^ ab Actualización de Chrome para Android, Google Chrome, 14 de noviembre de 2013 , consultado el 17 de noviembre de 2019
  41. ^ https://labs.withsecure.com/publications/set-fire-to-the-phone
  42. ^ abc Moore, Mike (12 de agosto de 2019), Amazon Echo vulnerable a viejos fallos de seguridad, Engadget , consultado el 14 de noviembre de 2019
  43. ^ ab "Iniciativa Día Cero - Pwn2Own Tokio 2019 - Resultados del primer día". Iniciativa Día Cero . Consultado el 13 de enero de 2020 .
  44. ^ ab "Iniciativa Día Cero - Pwn2Own Tokio 2019 - Resultados finales del segundo día". Iniciativa Día Cero . Consultado el 13 de enero de 2020 .
  45. ^ abcdefg "Iniciativa Día Cero - Bienvenido a Pwn2Own 2020 - Calendario y resultados en vivo". Iniciativa Día Cero . Consultado el 10 de diciembre de 2022 .
  46. ^ abcd "Iniciativa de día cero - Pwn2Own 2020 - Resultados del primer día". Iniciativa Día Cero . Consultado el 10 de diciembre de 2022 .
  47. ^ abc "Iniciativa del día cero - Día dos de Pwn2Own - Resultados y Master of Pwn". Iniciativa Día Cero . Consultado el 10 de diciembre de 2022 .
  48. ^ abcdefghijklmnopq "Iniciativa Día Cero - Pwn2Own Tokio (en vivo desde Toronto) - Programación y resultados en vivo". Iniciativa Día Cero . Consultado el 10 de diciembre de 2022 .
  49. ^ abcdefghijklmnopqrstu "Iniciativa de día cero - Pwn2Own 2021 - Calendario y resultados en vivo". Iniciativa Día Cero . Consultado el 11 de diciembre de 2022 .
  50. ^ Naraine, Ryan (23 de abril de 2007). "Diez preguntas para el hacker de MacBook Dino Dai Zovi". ZDNet . Consultado el 16 de noviembre de 2010 .
  51. ^ "MacBook es pirateado en un concurso de conferencia de seguridad". Profesional de TI . 23 de abril de 2007 . Consultado el 7 de enero de 2021 .
  52. ^ "PWN to OWN Día dos: ¡Surge el primer ganador! (Actualizado)". 27 de marzo de 2008. Archivado desde el original el 12 de abril de 2012 . Consultado el 1 de abril de 2012 .
  53. ^ "PWN to OWN: último día (¡y otro ganador!)". 28 de marzo de 2008. Archivado desde el original el 12 de abril de 2012 . Consultado el 1 de abril de 2012 .
  54. ^ Kebbel-Wyen, John (4 de abril de 2008). "Blog del equipo de respuesta a incidentes de seguridad de productos de Adobe (PSIRT) / Concurso Pwn2Own CanSecWest 2008". Archivado desde el original el 17 de abril de 2012 . Consultado el 1 de abril de 2012 .
  55. ^ Ruiu, Dragos (15 de febrero de 2009). «Cursos Dojo y Oradores de CanSecWest 2009 (14-20 de marzo)» . Consultado el 1 de abril de 2012 .
  56. ^ abcd Ruiu, Dragos (18 de marzo de 2009). "Reglas finales de PWN2OWN". Archivado desde el original el 4 de abril de 2012 . Consultado el 1 de abril de 2012 .
  57. ^ Foresman, Chris (27 de marzo de 2009). "El ganador de Pwn2Own dice que las Mac son más seguras, aunque menos". Ars Técnica . Consultado el 11 de abril de 2010 .
  58. ^ "Vulnerabilidad de ejecución de código de puntero colgante de propiedad de 8 filas de Microsoft Internet Explorer". 10 de junio de 2009 . Consultado el 1 de abril de 2012 .
  59. ^ Tinnes, Julien. "Escribir una vez, ser dueño de todos, problemas de deserialización de Java" . Consultado el 8 de septiembre de 2013 .
  60. ^ Forslof, Terri (21 de marzo de 2009). "Resumen de Pwn2Own". Archivado desde el original el 11 de febrero de 2012 . Consultado el 1 de abril de 2012 .
  61. ^ abc Portnoy, Aaron (15 de febrero de 2010). "Pwn2Own 2010". Punto de inflexión . Archivado desde el original el 13 de abril de 2010 . Consultado el 10 de abril de 2010 .
  62. ^ "Acerca del contenido de seguridad de Safari 4.0.5". Apple Inc . 15 de marzo de 2010 . Consultado el 4 de mayo de 2010 .
  63. ^ "Opera Mini alcanza un hito importante: supera los 50 millones de usuarios activos". Software Opera ASA . 12 de febrero de 2010. Archivado desde el original el 23 de diciembre de 2011 . Consultado el 23 de julio de 2011 .
  64. ^ "Un navegador. 3000 teléfonos". Software Opera ASA . 8 de julio de 2010. Archivado desde el original el 8 de julio de 2011 . Consultado el 23 de julio de 2011 .
  65. ^ "Cien millones". OperaSoftware ASA . 10 de febrero de 2011. Archivado desde el original el 6 de agosto de 2011 . Consultado el 23 de julio de 2011 .
  66. ^ "Opera llega a (otros) 100 millones de usuarios". Software Opera ASA . 7 de abril de 2011. Archivado desde el original el 13 de julio de 2011 . Consultado el 23 de julio de 2011 .
  67. ^ "Aviso de seguridad de la Fundación Mozilla 2010-25: reutilización del objeto liberado debido a confusión en el alcance". Mozilla . 1 de abril de 2010 . Consultado el 10 de abril de 2010 .
  68. ^ Anuncio de Pwn2Own 2011, Blog de TippingPoint Digital Vaccine Laboratories, 2 de febrero de 2011, archivado desde el original el 10 de febrero de 2011
  69. ^ Reglas de PWN2OWN 2012 Archivado el 1 de marzo de 2012 en Wayback Machine.
  70. ^ Estado de PWN2OWN 2012 Archivado el 26 de junio de 2012 en Wayback Machine.
  71. ^ Naraine, Ryan (7 de marzo de 2012), CanSecWest Pwnium: Google Chrome pirateado con derivación de sandbox, ZDnet
  72. ^ "En un concurso de piratería, Google Chrome sufre el tercer ataque de día cero (actualizado)". Ars Técnica . 10 de marzo de 2012.
  73. ^ "Después del pwnage: orificio crítico de Google Chrome tapado en 24 horas". Ars Técnica . 8 de marzo de 2012.
  74. ^ ab Constantin, Lucian (14 de noviembre de 2013), Investigadores piratean Internet Explorer 11 y Chrome en Mobile Pwn2Own, PCWorld , consultado el 18 de noviembre de 2019
  75. ^ "Chrome; Firefox; IE 10; Java; Win 8 cae en el hackfest # pwn2own". Revista SC . Archivado desde el original el 10 de marzo de 2013 . Consultado el 7 de marzo de 2013 .
  76. ^ "Resultados de Pwn2Own del miércoles (día uno)". Archivado desde el original el 16 de marzo de 2014 . Consultado el 15 de marzo de 2014 .
  77. ^ "Resultados de Pwn2Own del jueves (día dos)". Archivado desde el original el 17 de marzo de 2014 . Consultado el 15 de marzo de 2014 .
  78. ^ ab Westervelt, Robert (10 de junio de 2014), Microsoft corrige 57 fallas de Internet Explorer y soluciona errores del concurso de piratas informáticos, CRN , consultado el 19 de noviembre de 2019
  79. ^ ab Keizer, Gregg (17 de marzo de 2014), Google parchea Chrome por valor de 310.000 dólares, errores de Chrome OS, Computerworld , consultado el 18 de noviembre de 2019
  80. ^ Tung, Liam (14 de marzo de 2014), Pwn2Own: 14 exploits de navegador y complementos que la NSA no comprará, Zdnet , consultado el 18 de noviembre de 2019
  81. ^ "En #Pwn2Own de este año utilizamos un total de 11 días cero e informamos exploits *completos* (incluidos escapes de sandbox) a los proveedores de HP+ para solucionarlos". Archivado desde el original el 2 de abril de 2015 . Consultado el 15 de marzo de 2014 .
  82. ^ "Cosas listas". Archivado desde el original el 2016-03-20.
  83. ^ Kerner, Sean Michael (14 de marzo de 2014), Pwn2Own 2014 Claims IE, Chrome, Safari y más Firefox Zero-Days, eWeek , consultado el 18 de noviembre de 2019
  84. ^ "El entorno limitado de seguridad de Windows Phone sobrevive ileso a Pwn2Own". Ars Técnica . 13 de noviembre de 2014.
  85. ^ Deng, Iris (3 de abril de 2019), Los piratas informáticos respaldados por Tencent que recibieron elogios de Elon Musk una vez revelaron fallas en iOS de Apple, South China Morning Post , consultado el 29 de noviembre de 2019
  86. ^ "Todos los navegadores se caen". Zdnet . 23 de marzo de 2015.
  87. ^ Pauli, Darren (4 de agosto de 2016), Los piratas informáticos detallan la sangre y las entrañas de la exposición de exploits Pwn2Own de 2016 , consultado el 29 de noviembre de 2019
  88. ^ "Chrome, Edge y Safari, todos pirateados". VentureBeat . 18 de marzo de 2016.
  89. ^ "Pwn2Own 2016: Windows más pirateado, Edge se mantiene firme, Firefox desaparecido en acción". Semana electrónica . 11 de febrero de 2016.
  90. ^ ab Stangel, Luke (22 de enero de 2018), Google acaba de emitir un cheque por su mayor recompensa por errores de la historia, Silicon Valley Business Journal , consultado el 29 de noviembre de 2019
  91. ^ Russon, Mary-Ann (21 de marzo de 2017), La máquina virtual VMWare finalmente fue pirateada en la conferencia de seguridad Pwn2Own 2017 , consultado el 28 de noviembre de 2019
  92. ^ "Pwn2Own2017: Chrome el ganador". SeguridadZap. 4 de abril de 2017.[ enlace muerto ]
  93. ^ ab Heller, Michael (3 de noviembre de 2017), Investigadores piratean iOS 11 en Mobile Pwn2Own 2017 , consultado el 28 de noviembre de 2019
  94. ^ Brewster, Thomas (1 de noviembre de 2017), "Apple advirtió sobre un ataque malvado a Wi-Fi que instala malware en iPhones", Forbes
  95. ^ ab Blue, Violet (16 de marzo de 2018), Cuando China acapara a sus piratas informáticos, todos pierden, Engadget
  96. ^ Abacus (19 de noviembre de 2019), Los piratas informáticos chinos irrumpen en Chrome, Microsoft Edge y Safari en competencia, South China Morning Post , consultado el 27 de noviembre de 2019
  97. ^ ab "Los piratas informáticos recibieron 267.000 dólares en Pwn2Own 2018". Semana de la Seguridad. 16 de marzo de 2018.
  98. ^ Kerner, Sean Michael (15 de marzo de 2018). "Los piratas informáticos de Pwn2Own 2018 ganan 162.000 dólares por Safari, Edge y VirtualBox Exploit". eSEMANA . Empresa QuinStreet . Consultado el 27 de septiembre de 2018 .
  99. ^ "Reglas de Pwn2Own 2018". Iniciativa Día Cero . Archivado desde el original el 18 de junio de 2018 . Consultado el 27 de septiembre de 2018 .
  100. ^ ab Fingas, Jon (10 de noviembre de 2019), Amazon Echo Show es víctima de una antigua falla en un concurso de piratería, TechRader , consultado el 14 de noviembre de 2019
  101. ^ Gorenc, Brian (28 de octubre de 2019). "Pwn2Own Miami: llevar ICS al mundo Pwn2Own". TheZDI.com . Consultado el 16 de abril de 2021 .
  102. ^ "Pwn2Own Miami: los piratas informáticos obtienen 250.000 dólares en premios durante el concurso inaugural de seguridad de ICS". www.portswigger.net . 24 de enero de 2020 . Consultado el 16 de abril de 2021 .
  103. ^ "Dentro del concurso de piratería industrial de mayor riesgo del mundo". Cableado . Consultado el 16 de abril de 2021 .
  104. ^ Childs, Dustin (21 de enero de 2020). "PWN2OWN Miami 2020 - Calendario y resultados en vivo". TheZDI.com . Consultado el 16 de abril de 2021 .
  105. ^ "Hackea un Tesla, consigue un Model 3 y casi 1 millón de dólares". www.cnet.com . Consultado el 20 de abril de 2021 .
  106. ^ "Windows, Ubuntu, macOS y VirtualBox caen en el concurso de piratería Pwn2Own". zdnet.com . Consultado el 20 de abril de 2021 .
  107. ^ "Desafiando el manto de Covid-19: Pwn2Own se vuelve virtual". Threatpost.com . 20 de marzo de 2020 . Consultado el 20 de abril de 2021 .
  108. ^ "Enrutadores, dispositivos NAS y televisores pirateados en Pwn2Own Tokyo 2020". semana de seguridad.com . 9 de noviembre de 2020 . Consultado el 20 de abril de 2021 .
  109. ^ Childs, Dustin (5 de noviembre de 2020). "Pwn2Own Tokyo (en vivo desde Toronto): programación y resultados en vivo". thezdi.com . Consultado el 20 de abril de 2021 .
  110. ^ "Pwn2Own Tokio Día 3: Team Flashback coronado Maestro de Pwn". seguridadaffaris.co . 8 de noviembre de 2020 . Consultado el 20 de abril de 2021 .
  111. ^ Gorenc, Brian (26 de enero de 2021). "Anuncio de Pwn2Own Vancouver 2021". iniciativazeroday.com . Consultado el 28 de mayo de 2021 .
  112. ^ Mike Peterson (8 de abril de 2021). "Un investigador de seguridad gana un premio de 100.000 dólares por un exploit de Safari en Pwn2Own 2021". appleinsider.com .
  113. ^ Joel Khalili (9 de abril de 2021). "Windows 10 es víctima de los piratas informáticos, pero no como se podría pensar". techradar.com .
  114. ^ Thomas Brewster (8 de abril de 2021). "Microsoft Teams y Zoom pirateados en una competencia de $ 1 millón". forbes.com .
  115. ^ Adam Bannister (9 de abril de 2021). "Pwn2Own 2021: Explotación de Zoom sin clic entre los ganadores cuando se rompió el récord de pagos". portswigger.net .
  116. ^ John Leyden (22 de abril de 2022). "Pwn2Own Miami: los piratas informáticos ganan 400.000 dólares descifrando plataformas ICS". portswigger.net .
  117. ^ Lucas Ropek (22 de abril de 2022). "Resulta que es bastante fácil piratear el programa que ejecuta nuestras redes eléctricas". gizmodo.com .
  118. ^ Patrick Howell O'Neill (21 de abril de 2022). "Estos piratas informáticos demostraron lo fácil que es atacar infraestructuras críticas". technologyreview.com .
  119. Andrada Fiscutean (18 de mayo de 2022). "Cómo Pwn2Own hizo de la caza de insectos un deporte real". darkreading.com .
  120. ^ Davey Winder (19 de mayo de 2022). "Microsoft Windows 11 pirateado seis veces en tres días". forbes.com .
  121. Pierluigi Paganini (19 de mayo de 2022). "Pwn2Own Vancouver 2022 D1: los exploits de MS Teams recibieron 450.000 dólares". seguridadaffairs.co .
  122. Sergiu Gatlan (20 de mayo de 2022). "Windows 11 volvió a hackear en Pwn2Own, Telsa Model 3 también cae". bleepingcomputer.com .
  123. ^ Jessica Haworth (23 de mayo de 2022). "Pwn2Own Vancouver: el decimoquinto evento anual de piratería paga 1,2 millones de dólares por errores de seguridad de alto impacto". portswigger.net .
  124. ^ "Samsung Galaxy S22 pirateado en 55 segundos el día 3 de Pwn2Own". Computadora que suena . Consultado el 10 de diciembre de 2022 .
  125. ^ "Iniciativa de día cero - Pwn2Own Toronto 2022 - Resultados del primer día". Iniciativa Día Cero . Consultado el 12 de junio de 2023 .
  126. ^ ab "Vulnerabilidad del lado WAN de TP-Link CVE-2023-1389 agregada al Arsenal de Botnet Mirai". 2023-04-24 . Consultado el 12 de junio de 2023 .
  127. ^ abcde "No eres tan" Ministerio del Interior "- SOHO Hacking en Pwn2Own" (PDF) . 2023-04-23 . Consultado el 12 de junio de 2023 .
  128. ^ "Pwn2Own Toronto 22: aproveche los enrutadores Netgear Nighthawk RAX30". Claroty . Consultado el 12 de junio de 2023 .
  129. ^ "Iniciativa Día Cero - Pwn2Own Toronto 2022 - Resultados del segundo día". Iniciativa Día Cero . Consultado el 12 de junio de 2023 .
  130. ^ abc "Iniciativa de día cero: explotación del altavoz Sonos One de tres formas diferentes: un punto culminante de Pwn2Own Toronto". Iniciativa Día Cero . Consultado el 12 de junio de 2023 .
  131. ^ "Preparándose para Pwn2Own 2022". Laboratorios de contabilidad . 30 de enero de 2023 . Consultado el 12 de junio de 2023 .
  132. ^ "Iniciativa de día cero - CVE-2022-29844: un desbordamiento de búfer clásico en Western Digital My Cloud Pro Series PR4100". Iniciativa Día Cero . Consultado el 12 de junio de 2023 .
  133. ^ "Iniciativa Día Cero - Pwn2Own Toronto 2022 - Resultados del tercer día". Iniciativa Día Cero . Consultado el 12 de junio de 2023 .
  134. ^ "Iniciativa del día cero - Pwn2Own Toronto 2022 - Resultados del cuarto día y Master of Pwn". Iniciativa Día Cero . Consultado el 12 de junio de 2023 .
  135. ^ "Nuestro viaje Pwn2Own contra el tiempo y la aleatoriedad (parte 1)". blog.quarkslab.com . Consultado el 12 de junio de 2023 .
  136. ^ blasty (11 de junio de 2023), impresora lexmark haxx , consultado el 12 de junio de 2023
  137. ^ "¡La impresora vuelve a funcionar brrrrr!". Synacktiv (en francés) . Consultado el 12 de junio de 2023 .
  138. ^ "Parches, colisiones y shells de raíz: una aventura de Pwn2Own". www.sonarsource.com . 2023-08-14 . Consultado el 17 de septiembre de 2023 .

enlaces externos