Novo OS 2.0 traz email integrado e aplicativos Android para o PlayBook
Boatos: Microsoft pode ter Office para iPad
Guia de salários: carreira em e-commerce pode pagar até R$ 16 mil
Google ignora controles de privacidade do IE, diz Microsoft
iPad 3 terá SoC Apple A5X
Lista de falhas: iPad 2 é mais seguro que Kindle Fire
Fundador do Megaupload é solto pela justiça
Anonymous: conheça os 10 principais fatos do grupo
Anônimos, trolls e fakes: dicas de etiqueta para lidar na internet
Especial Carreiras em TI: entenda o que faz um arquiteto de solução
Solução capta e reporta falhas em softwares
Guia de salários: profissionais de help desk ganham até R$ 16,7 mil
A competição anual de invasores Pwn2Own será mais uma maratona do que uma corrida de cem metros. O patrocínio da HP/TippingPoint DVLabs alavancou o prestígio da competição ao aumentar os obstáculos.
Há apenas quatro alvos na competição desse ano, e todos são navegadores: Microsoft Internet Explorer, Moxilla Firefox, Google Chorme e Apple Safari. Diferentemente dos anos passados, não será uma corrida de zero-day, mas por sistemas de pontos com desafios específicos, e primeiro, segundo e terceiro lugares ganharão prêmios que totalizam US$ 105 mil para os três ganhadores da competição ou times.
O Google também oferece dois prêmios bônus para invasão completa ou parcial do Chrome. A completa significa usar falhas no código de execução do Chrome “um-sandboxed”. Segundo Aaron Portnoy, diretor da ZDI “pela invasão completa o prêmio (para cada um) é de US$ 20 mil”. Usar uma falha do Chrome, bem como do sistema operacional no qual ele se apoia, dá US$ 10 mil para cada competidor.
E isso é só o começo. “Se a pessoa quebrar o Chrome na competição, fica associada ao navegados e a nós.”.
Talvez a maior mudança na competição, que acontece no ConSecWest entre 7 e 9 de março, seja o comprimento e a largura: não haverá mais o “fim do jogo” quando um competidor atingir uma falha zero-day no software alvo. Os vencedores serão baseados em um sistema de pontos, e não haverá invasão de dispositivos móveis.
A ZDI também irá inserir novos elementos: vulnerabilidades corrigidas nas quais os pesquisadores da empresa encontraram falhas.
Os competidores têm três dias para escrever uma exploração que funcione contra o alvo. Se conseguir invadir no primeiro dia, ganha 10 pontos; no segundo, ganha 9 pontos; se realizar a exploração no terceiro dia, ganha 8 pontos.
Uma exploração zero-day encontrada vale 32 pontos por indivíduo ou equipe, para ficar em primeiro lugar, o vencedor precisa achar pelo menos um zero-day. O primeiro lugar geral ganha US$ 60 mil, o segundo US$ 30 mil e o terceiro US$15 mil. Se invadirem o Chrome, ganham bônus de acordo com os critérios do Google.
Como em todas as outras vezes, os fornecedores afetados pela competição recebem relatório das vulnerabilidades descobertas e os vencedores ganham novos laptops, além do prêmio em dinheiro.
A ZDI postou uma descrição completa das regras aqui.
Ataques as redes corporativas
Assista o Webinar
Office 365
Assista o Webinar
IBM System x3690 x5
Baixe o White Paper
