Ipari rendszerek is bekerülnek egy hackerversenyre

Újabb kategóriában mérettethetik meg magukat a Pwn2Own hackerverseny nevezői. Jövőre már ipari rendszerek ellen is harcba szállhatnak.
 

A Pwn2Own az egyik legismertebb hackerverseny a világon. A Trend Micro ZDI csapata által szervezett megmérettetés több éve sikeres a fehérkalaposok körében. Megfigyelhető, hogy a szervezők folyamatosan újítják meg a célpontok listáját. Idén például bekerült a programba az okosautó kategória is. Ennek keretében egy Tesla Model 3 hackelését lehetett bemutatni. Végül ezt két szakembernek sikerült véghez vinnie, akik az autó Chromium alapú infotainment rendszerében tártak fel, illetve használtak ki egy sérülékenységet. Ezért 35 ezer dollár jutalomban részesültek.
 
A hackerverseny szervezői több újdonsággal is készülnek 2020-ra. Egyrészt a jövő évi első megmérettetésre már januárban sor kerül Miamiban. (A Pwn2Own évente kétszer várja a versenyzőket. Eddig az első viadalra tavasszal szokott sor kerülni Vancouverben.) Ennél azonban lényegesebb, hogy a jövő évi versenyen megjelenik az ICS (Industrial Control Systems) kategória, amely lehetőséget ad kritikus alkalmazások hackelésére. Az alábbi célpontok kerültek fel a szervezők listájára:
 
  • Iconics Genesis64
  • Inductive Automation Ignition
  • Unified Automation - ANSI C Demo Server
  • OPC Foundation - OPC UA .NET Standard    
  • Triangle Microworks SCADA Data Gateway
  • Rockwell Automation - FactoryTalk View SE
  • Schneider Electric EcoStruxure Operator Terminal Expert
  • Rockwell Automation Studio 5000
 
A verseny követelményeit sikeresen teljesítő résztvevők 5-20 ezer dollár közötti jutalomra számíthatnak az általuk felfedezett és kihasznált sérülékenységek bemutatásáért. Természetesen ez esetekben is szigorú szabályok vannak a sérülékenységi információk kezelését illetően: azokat csak a ZDI-vel lehet megosztani, amely azonnal felveszi a kapcsolatot a fejlesztőkkel.
 
A Pwn2Own szervezőinek ICS-sel összefüggő igyekezete nem meglepő, hiszen egyre több biztonsági probléma kerül felszínre e rendszerek kapcsán is. A ZDI 2018-ban 224 százalékkal több ICS-hibabejelentést vizsgált, mint az előző évben, és a Trend Micro szerint ez a tendencia idén is megfigyelhető. Ráadásul az ipari vezérlőrendszerekben nemcsak a sebezhetőségek kimutatása és kihasználása (exploit írás) jelent kihívást, hanem a hibajavítások elkészítése is nagy odafigyelést igényel a fejlesztők részéről, nem beszélve a patch-ek teszteléséről és gondos telepítéséről.
Vélemények
 
  1. 4

    Az Apple Safari legújabb verziója négy biztonsági rést segít befoltozni.

  2. 4

    Az Apple iOS és az iPadOS 14-es kiadása biztonsági hibajavításokkal is szolgál.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség