Pwn2Own - Pwn2Own

Pwn2Own
Күні18–20 сәуір (2007-04-18 – 2007-04-20)
УақытЖылына екі рет
Ұзақтығы2-ден 3 күнге дейін
Өтетін орныCanSecWest қауіпсіздік конференциясы
Орналасқан жеріӘр түрлі
ТүріХакерлік байқау
Меценат (тар)Нөлдік күн бастамасы
ҰйымдастырушыCanSecWest қолданбалы қауіпсіздік конференциясы
МарапаттарАқшалай сыйлықтар
Веб-сайтCanSecWest қолданбалы қауіпсіздік конференциясы

Pwn2Own Бұл компьютерлік бұзу конкурс жыл сайын CanSecWest-те өткізіледі қауіпсіздік конференциясы.[1] Алғаш рет 2007 жылы сәуірде Ванкуверде өтті,[2] байқау енді жылына екі рет өткізіледі,[3] жақында 2019 жылдың қарашасында.[4][3] Байқауға қатысушыларға шақыру беріледі пайдалану кеңінен қолданылады бағдарламалық жасақтама[5] және мобильді құрылғылар бұрын белгісіз болған осалдықтар.[6] Байқау жеңімпаздары өздері пайдаланған құрылғы мен ақшалай сыйлыққа ие болады.[4] Pwn2Own байқауы кең қолданыстағы құрылғылар мен бағдарламалық жасақтамалардың осалдығын көрсетуге қызмет етеді, сонымен бірге өткен жылдан бастап қауіпсіздік саласында қол жеткізілген жетістіктерге бақылау пунктін ұсынады.

Тарих

Шығу тегі

Бірінші байқау 2007 ж[1] Драгос Руиу өзінің көңілсіздігіне жауап ретінде ойлап тапты және дамытты Apple Inc. жауап болмауы[7] дейін Apple қателер айы және Ядролық қателер айы,[8] Apple компаниясының бәсекелестерге қауіпсіздікті жеңілдеткен теледидарлық жарнамалары Windows амалдық жүйесі.[9] Сол кезде Apple өнімдеріндегі осалдықтардың көпшілік алдында көрсетілгеніне қарамастан, OS X басқа бәсекелестерге қарағанда едәуір қауіпсіз болды.[7] 20 наурызда, сол жылы CanSecWest-тен шамамен үш апта бұрын, Руиу DailyDave тарату тізіміндегі қауіпсіздік зерттеушілеріне Pwn2Own байқауын жариялады.[1] Конкурсқа екеуі кіруі керек еді MacBook Pros ол конференция алаңында өздеріне ілініп кететінін айтты сымсыз кіру нүктесі. Осы сымсыз кіру нүктесіне қосыла алатын және құрылғылардың бірін қолдана алатын кез-келген қатысушы конференциядан сол ноутбукпен кете алады. Ақшалай сыйақы болған жоқ.[7] «Pwn2Own» атауы қатысушылардың міндетті түрде «pwn «немесе оны» иелену «немесе ұтып алу үшін құрылғыны бұзу.

Конференцияның бірінші күні Ванкувер, Британдық Колумбия, Руиу Терри Форслофтан нөлдік күн бастамасының (ZDI) байқауға қатысуын сұрады.[5] ZDI-де сатып алатын бағдарлама бар нөлдік күндік шабуылдар, бұл туралы зардап шеккен жеткізушіге хабарлайды және олардың желінің енуін анықтау жүйесіне қолтаңбаларға айналдырып, оның тиімділігін арттырады. ZDI-ге сатылған осалдықтар зардап шеккен сатушы оған патч шығарғаннан кейін ғана жария етіледі.[10] Форслофф ZDI-ге конкурста пайдаланылған кез-келген осалдығын біркелкі бағаға 10000 долларға сатып алу туралы ұсыныс беруге келісті.[5] Бірінші байқау кейіннен үлкен беделге ие болды Quicktime Apple компаниясына 23 сәуірде ашылған және мамыр айының басында патч.[5] 2008 жылы Pwn2Own байқауының аясы кеңейді.[11] Мақсатқа әдепкі орнатылымы бар үш ноутбук кірді Windows Vista, OS X, немесе Ubuntu Linux.[12] Мобильді құрылғылар 2009 жылы қосылды.[6]

2012 жылы ережелер баллдық жүйемен жалауша стиліндегі жарысқа өзгертілді,[13] Және Chrome тұрақты бәсекелесі алғаш рет сәтті пайдаланды VUPEN.[14] Ақпаратты ашудың жаңа ережелеріне байланысты сол жылы конкурстан шыққаннан кейін,[15] 2013 жылы Google демеуші ретінде қайтарылды және ережелер өзгертіліп, эксплуатация мен қолданылған техниканың толық ашылуын талап етті.[16] Google 2015 жылы Pwn2Own демеушісі болуды тоқтатты.[17]

Соңғы жылдар

2015 жылы сынақтан өткен әрбір веб-шолғыш сәтті бұзылды және барлық жүлделер ұтып алынды, жалпы сомасы 557,500 доллар. Ноутбук сияқты басқа сыйлықтар жеңімпаз зерттеушілерге де берілді.[18] 2018 жылы конференция әлдеқайда аз болды және бірінші кезекте демеушілік жасады Microsoft, Қытай өзінің қауіпсіздік зерттеушілеріне байқауға қатысуға тыйым салғаннан кейін.[19]

Pwn2Own демеушілік көмек көрсетуді жалғастыруда Trend Micro Нөлдік күн бастамасы, ZDI хакерлермен көпшілікке шығар алдында сатушылар алдындағы осалдықтар туралы хабарлайды.[3] «Әлемдегі ең ірі хакерлік жарыстардың бірі» бойынша TechCrunch,[20] 2019 жылдан бастап байқау жылына бірнеше рет өткізіліп тұрады.[4] Pwn2Own Токио 6 қарашадан 7 қарашаға дейін өтті Токио, Жапония және $ 750,000 ақшалай сыйлықтар мен сыйлықтар табыстайды деп күтілген.[20] Хактар ​​браузерлерге, виртуалды машиналарға, компьютерлерге және телефондарға бағытталған.[3] 2019 жылы конкурс алғаш рет автокөліктерді қосты, хакерлерді пайдалану үшін 900 000 доллар ұсынылды Тесла бағдарламалық жасақтама.[3] 2019 жылы байқау өнеркәсіптік басқару жүйелерін қосты.[21]

Марапаттар жүйесі

Байқау жеңімпаздары өздері пайдаланған құрылғы мен ақшалай сыйлыққа ие болады.[4] Жеңімпаздар жеңіске жеткен жылын атап өтетін «Мастерлер» күртесін алады.

Табысты ерліктердің тізімі

Бұл айтулы хактердің тізімі толық емес.

Хакер (лар)ҚосылуЖылМақсатты пайдалануНұсқа / ОЖДереккөз
Дино Дай ЗовиТәуелсіз2007Quicktime (Сафари )Mac OS X[22][23]
Шейн МакаулиТәуелсіз2007Quicktime (Safari)Mac OS X[23][22]
Чарли МиллерISE2008Сафари (PCRE )Mac OS X 10.5.2[24]
Джейк ХонорофISE2008Safari (PCRE)Mac OS X 10.5.2[24]
Марк ДаниэльISE2008Safari (PCRE)Mac OS X 10.5.2[24]
Шейн МакаулиТәуелсіз2008Adobe Flash (Internet Explorer )Windows Vista Service Pack 1[25]
Александр СотировТәуелсіз2008Adobe Flash (Internet Explorer)Windows Vista Service Pack 1[25]
Дерек КэллоуэйТәуелсіз2008Adobe Flash (Internet Explorer)Windows Vista Service Pack 1[25]
Чарли МиллерISE2009СафариMac OS X[26]
НильдерТәуелсіз2009Internet Explorer 8Windows 7 Бета[27]
НильдерТәуелсіз2009СафариMac OS X[28]
НильдерТәуелсіз2009Mozilla Firefox[29]
Чарли МиллерISE2010СафариMac OS X[30]
Питер ВрюгденхилТәуелсіз2010Internet Explorer 8Windows 7[30]
НильдерТәуелсіз2010Mozilla Firefox 3.6Windows 7 (64 биттік)[30]
Ральф-Филипп ВайнманнТәуелсіз2010iPhone 3GSiOS[30]
Винченцо ИоццоТәуелсіз2010iPhone 3GSiOS[30]
VUPENVUPEN2011Safari 5.0.3Mac OS X 10.6.6[31]
Стивен АзГармония қауіпсіздігі2011Internet Explorer 8 (32 биттік)Windows 7 1-жаңарту бумасы (64 бит)[31]
Чарли МиллерISE2011iPhone 4iOS 4.2.1[32]
Дион БлазакисISE2011iPhone 4iOS 4.2.1[32]
Виллем ПинкайерсТәуелсіз2011BlackBerry Алау 9800BlackBerry OS 6.0.0.246[32]
Винченцо ИоццоТәуелсіз2011BlackBerry Torch 9800BlackBerry OS 6.0.0.246[32]
Ральф-Филипп ВайнманнТәуелсіз2011BlackBerry Torch 9800BlackBerry OS 6.0.0.246[32]
VUPENVUPEN2012ChromeWindows 7 1-жаңарту бумасы (64 бит)[14]
VUPENVUPEN2012Internet Explorer 9Windows 7[33]
Виллем ПинкайерсТәуелсіз2012Mozilla Firefox[34]
Винченцо ИоццоТәуелсіз2012Mozilla Firefox[34]
VUPENVUPEN2013Internet Explorer 10Windows 8[35]
VUPENVUPEN2013Adobe FlashWindows 8[36]
VUPENVUPEN2013Oracle JavaWindows 8[36]
НильдерMWR зертханалары2013ChromeWindows 8
ДжонMWR зертханалары2013ChromeWindows 8
Джордж ХотцТәуелсіз2013Adobe ReaderWindows 8
Джошуа ДрейкТәуелсіз2013Oracle JavaWindows 8
Джеймс ФоршоуТәуелсіз2013Oracle JavaWindows 8
Бен МерфиТәуелсіз2013Oracle JavaWindows 8
Pinkie PieТәуелсіз2013 (ұялы)ChromeAndroid[37]
Нико ДжолиVUPEN2014 (мобильді)Windows Phone (Internet Explorer 11 )Windows 8.1
VUPENVUPEN2014Internet Explorer 11Windows 8.1
VUPENVUPEN2014Adobe Reader XIWindows 8.1
VUPENVUPEN2014ChromeWindows 8.1
VUPENVUPEN2014Adobe FlashWindows 8.1
VUPENVUPEN2014Mozilla FirefoxWindows 8.1
Лян Чен, Цегуанг Чжао5092014Adobe FlashWindows 8.1
Себастьян Апельт, Андреас ШмидтТәуелсіз2014Internet Explorer 11Windows 8.1
Джури АедлаТәуелсіз2014Mozilla FirefoxWindows 8.1
Мариуш МлинскийТәуелсіз2014Mozilla FirefoxWindows 8.1
Джордж ХотцТәуелсіз2014Mozilla FirefoxWindows 8.1
Лян Чен, Цегуанг Чжао5092014OS X Mavericks және Safari
Джунг Хун Ли, локихардтТәуелсіз2015Internet Explorer 11, Google Chrome және Safari[18]
Нико Голд, Даниэль КомаромиТәуелсіз2015 (ұялы)Samsung Galaxy S6 Тірек жолақAndroid
ГуанггонгQihoo 3602015 (ұялы)Nexus 6 ChromeAndroid
2016
2017iPhone 7, басқаларыiOS 11.1
2018
ФторацетатТәуелсіз2019 (мобильді)Amazon Echo Show 5[38]
Педро Рибейро, Радек ДоманскийFlashback2019 (мобильді)NETGEAR Nighthawk Smart WiFi маршрутизаторы (LAN және WAN)v3 (жабдық)[39]
Педро Рибейро, Радек ДоманскийFlashback2019 (мобильді)TP-Link AC1750 Smart WiFi маршрутизаторы (LAN және WAN)v5 (жабдық)[40]
Марк Барнс, Тоби Дрю, Макс Ван Амеронген және Джеймс ЛурейроF-Secure Labs2019 (мобильді)Xiaomi Mi9 (веб-шолғыш және NFC)Android[39]
Марк Барнс, Тоби Дрю, Макс Ван Амеронген және Джеймс ЛурейроF-Secure Labs2019 (мобильді)TP-Link AC1750 Smart WiFi маршрутизаторы (LAN және WAN)v5 (жабдық)[40]

Жыл сайынғы жарыстар

2007

Байқау 2007 жылғы 18 сәуірден бейсенбі мен 20 сәуір аралығында сенбі аралығында Ванкуверде өтті.[2] Бірінші байқау Apple компаниясының қауіпсіздігін көрсетуге арналған Mac OS X операциялық жүйе, өйткені сол кезде OS X бәсекелестеріне қарағанда әлдеқайда қауіпсіз деген сенім кең тараған.[7] Ережелер туралы айтсақ, CanSecWest конференц-қабатында тек екі MacBook Pro ноутбук, бірі 13 «және бірі 15», бөлек сымсыз желіге қосылды. Тек кейбір шабуылдарға рұқсат етілді және бұл шектеулер конференцияның үш күнінде біртіндеп босатылды.[7] 1-ші күні тек қашықтан шабуыл жасауға рұқсат етілді, 2-ші күні браузердің шабуылдары қамтылды, ал 3-ші күні жергілікті шабуылдарға рұқсат берілді, онда қатысушылар а USB флеш таяқша немесе блютез. 15 «MacBook Pro-ді жеңіп алу үшін, конкурсанттар өздерінің артықшылықтарын одан әрі жоғарылатуы керек тамыр олардың алғашқы эксплуатациясымен қол жеткізгеннен кейін.

Бірінші күні ноутбуктер бұзылмады. ZDI 10 000 доллар сыйақы жариялағаннан кейін, Шейн Маколей бұрынғы әріптесі Дино Дай Зовиді шақырды Нью Йорк және оны екінші күні жарысқа шақырды.[2] Бір түнде Дай Зови а-да бұрын белгісіз осалдығын тауып, пайдаланды QuickTime кітапхана Сафари жүктеген.[22] Келесі күні таңертең Дай Зови өзінің пайдалану кодын Маколейге жіберді,[41] кім оны веб-сайтқа орналастырды және конкурс ұйымдастырушыларына оның сілтемесін электронды пошта арқылы жіберді. Басылған кезде сілтеме Макаулиге ноутбукты басқаруға мүмкіндік берді, ол Маколейге 15 «MacBook Pro сыйлаған Dai Zovi үшін прокси арқылы конкурста жеңіп алды. Dai Zovi осалдықты ZDI-ге 10000 долларға бөлек сатты.[23]

2008

Pwn2Own 2008 2008 ж. 26 наурызынан бейсенбіге дейін өтті.[12] Сәтті өткен 2007 жылғы конкурстан кейін байқаудың ауқымы кеңейіп, көптеген операциялық жүйелер мен браузерлерді қамтыды. Конкурс тұтынушылардың кеңінен қолданудағы барлық бағдарламалық жасақтаманың кең ауқымды қауіпсіздігін көрсетеді.[11] Dragos байқауды салалық сарапшылардың кеңейтілген кеңесінің көмегімен жетілдірді және байқауды ZDI басқарды, олар өздерінің демонстрациясынан кейін осалдықтарды сатып алуды ұсынды.[12] ZDI сатып алатын барлық осалдықтар сияқты, Pwn2Own-да пайдаланылған осалдықтардың егжей-тегжейі зардап шеккен жеткізушілерге ұсынылатын болады және ашық мәліметтер дейін сақталатын болады патч қол жетімді болды.[10] Байқауда ерліктерін сәтті көрсеткен барлық қатысушылар өз осалдықтарын бірінші күні 20000 долларға, екінші күні 10000 долларға, үшінші күні 5000 долларға ZDI-ге сата алады.[11] Былтырғы байқаудағыдай әр күні тек белгілі бір шабуылдарға рұқсат етілген. Мақсатқа әдепкі орнатылымы бар үш ноутбук кірді Windows Vista Ultimate SP1, Mac OS X 10.5.2, немесе Ubuntu Linux 7.10.[12] 1-ші күні тек қашықтан шабуылдар болды; сайысқа қатысушылар мақсатты ноутбукпен бір желіге қосылып, шабуылдарды пайдаланушының өзара әрекеттестігінсіз және аутентификациясыз орындауы керек еді. 2-ші күні браузері болды және Жедел хабар алмасу шабуылдар, сонымен қатар нұқу үшін ұйымдастырушыларға жіберілген сілтемелері бар веб-сайттардың зиянды шабуылдары.[11] 3-ші күні үшінші тараптың клиенттік өтінімдері енгізілді. Байқауға қатысушылар үшінші тараптың танымал бағдарламалық жасақтамасына бағытталуы мүмкін[11] браузерлер сияқты, Adobe Flash, Java, Apple Mail, iChat, Skype, AOL, және Microsoft Silverlight.[12]

Нәтиже туралы айтатын болсақ, OS X-мен жұмыс жасайтын ноутбук байқаудың екінші күні эксплуатацияланған Safari браузері үшін бірлесіп жазған. Чарли Миллер, Джейк Хонороф пен Марк Дэниэл тәуелсіз қауіпсіздік бағалаушылары. Олардың эксплуатациясы Safari шолғышының бастапқы көзі қосалқы компонентіне бағытталған.[24][42] Windows Vista SP1 жүйесімен жұмыс жасайтын ноутбук байқаудың үшінші күні пайдаланылды Adobe Flash бірлесіп жазған Шейн Маколей, Александр Сотиров, және Дерек Кэллоуэй.[25][43] Байқау аяқталғаннан кейін Adobe өздерінің ішкі жағынан бірдей осалдығын анықтағанын және Pwn2Own кезінде патчпен жұмыс істегендерін мәлімдеді.[44] Ноутбук жұмыс істейді Ubuntu пайдаланылмады.

2009

Pwn2Own 2009 CanSecWest үш күнінде бейсенбі, наурыздың 18-нен наурыздың 20-на дейін, 2009 ж. Өтті. 2007 ж. Кез-келген басқа бағдарламалық жасақтамадан гөрі веб-браузерлерді бағыттауда едәуір жетістікке жеткеннен кейін, үшінші Pwn2Own тұтынушыларда қолданылатын танымал браузерлерге назар аударды. жұмыс үстелі операциялық жүйелері. Сонымен қатар, мобильді құрылғылардың тағы бір санаты қосылды, оған қатысушыларға көптеген қашықтықтағы шабуыл векторлары, соның ішінде электрондық пошта, SMS хабарламалары және веб-сайттарды қарау арқылы бұзу ұсынылды.[6][45] Байқауда табысты ерлік көрсеткен барлық қатысушыларға ZDI негізгі осалдықтары үшін сыйақы, браузердің эксплуатациясы үшін 5000 доллар және мобильді эксплуатация үшін 10000 доллар ұсынылды.[46]

Веб-браузер ережелеріне қатысты браузердің мақсаттары болды Internet Explorer 8, Firefox және Chrome орнатылған Sony Vaio жүгіру Windows 7 Бета және Сафари және Firefox Mac OS X жұмыс істейтін MacBook-қа орнатылған. Барлық браузерлер толық патчпен жабылған және конкурстың бірінші күні әдепкі конфигурацияда. Бұрынғы жылдардағыдай, шабуылдың беткі жағы үш күн ішінде кеңейді.[46] 1-ші күні байқауға қатысушылар әдепкі браузерде ешқандай плагиндерге қол жетімділіксіз функционалдылықты бағыттауы керек еді. 2-ші күні Adobe Flash, Java, Microsoft .NET Framework және QuickTime қосылды. 3 күні басқа танымал үшінші тарап плагиндері сияқты енгізілді Adobe Reader. Мақсат бойынша бірнеше жеңімпазға рұқсат етілді, бірақ әр ноутбукты бірінші қолданған қатысушы ғана алады. Мобильді құрылғының мақсаттары кіреді BlackBerry, Android, Алма iPhone 2.0 (T-Mobile G1 ), Symbian (Nokia N95 ) және Windows Mobile (HTC Touch ) әдепкі конфигурациясындағы телефондар.

Браузер сайысында болғандай, қатысушылар үш күн ішінде шабуыл алаңы кеңейе түсті. Құрылғыны сәтті бұза алғанын дәлелдеу үшін сайысқа қатысушылар мобильді құрылғыдан құпия деректерді жинай алатындығын немесе мобильді құрылғы иесінен қандай да бір қаржылық шығынға ұшырайтындығын көрсетуі керек.[46] 1-ші күні құрылғы SMS, MMS және электрондық пошта хабарларын қабылдай алады, бірақ хабарламаларды оқу мүмкін болмады. Wifi (әдепкі бойынша қосулы болса), Bluetooth (егер әдепкі бойынша қосулы болса) және радио стек те қолданыла алмады. 2-ші күні SMS, MMS және электрондық поштаны ашып, оқуға болады. Wi-Fi қосылды және Bluetooth қосылып, жақын маңдағы гарнитурамен жұптастырылуы мүмкін (қосымша жұптауға тыйым салынған). 3-ші күн қолданушылардың әдепкі қосымшалармен өзара әрекеттесуінің бір деңгейіне мүмкіндік берді. Бір құрылғы үшін бірнеше жеңімпазға рұқсат етілді, бірақ әр ұялы құрылғыны бірінші қолданған қатысушы ғана алады (бір жылдық телефон келісімшартымен бірге).

2009 жылы бәсекелестікке деген қызығушылықтың жоғарылауына байланысты ZDI кездейсоқ таңдау жүргізіп, қай топ әр мақсатқа қарсы бірінші болып шыққанын анықтады.[46] Бірінші болып сайланған қатысушы таңдалды Чарли Миллер. Ол кез-келген шолғыш плагинінің көмегінсіз OS X-де Safari-ді пайдаланды.[26] Конкурста жеңіске жеткеннен кейін берген сұхбатында Миллер Сафариге қарсы эксплуатацияны жүргізу үшін бірнеше минут қажет болғанымен, ол қолданған эксплойтты зерттеуге және дамытуға көп күн қажет болғанын атап өтті.[47] Миллердің артынан жүру үшін тек Нильс деп анықталған зерттеуші таңдалды. Nils Windows 7 Beta-да Internet Explorer 8-ге қарсы эксплуатацияны сәтті жүргізді. Осы эксплуатацияны жазу кезінде Nils Microsoft корпорациясының Internet Explorer 8 және Windows 7-де енгізген қанауға қарсы жұмсартуларын, оның ішінде Мәліметтерді орындаудан қорғау (DEP) және Мекен-жай кеңістігінің рандомизациясы (ASLR).[27][48] Нильс басқа браузерлерді көруді жалғастырды. Миллер Safari-ді OS X-де қолданғанымен, Nils бұл платформаны қайтадан пайдаланды,[28] содан кейін Firefox-ты сәтті пайдалануға көшті.[29] Бірінші күннің аяғында Джулиен Тиннес пен Сами Койву (қашықтағы) Firefox пен Safari-ді OS X-де Java-дағы осалдықпен сәтті пайдаланды. Сол кезде OS X жүйесінде әдепкі бойынша Java қосылды, бұл осы платформаға қарсы сенімді пайдалануға мүмкіндік берді. Алайда, сатушыға осалдықтар туралы алдын-ала хабарлағандықтан, Тиннестің қатысуы байқау ережелерінен тыс қалып, сыйақы ала алмады.[49] Байқаудың келесі күндері ешқандай қосымша қатысушыны тартқан жоқ. Chrome, сондай-ақ барлық мобильді құрылғылар Pwn2Own 2009-да пайдаланылмай қалды.[50]

2010

Сайыс 2010 жылдың 24 наурызында басталды және жалпы ақшалай сыйлық қоры 100000 АҚШ долларын құрады.[51] 15 наурызда - байқау басталуға тоғыз күн қалғанда Apple он алты патч шығарды WebKit және Safari.[52] Бағдарламалық жасақтама туралы айтатын болсақ, 100 000 доллардың 40 000 доллары веб-браузерлерге арналған, мұнда әр мақсат $ 10,000 құрайды.[51] 1-ші күнге Microsoft корпорациясы кірді Internet Explorer 8 қосулы Windows 7, Mozilla Firefox 3.6 Windows 7 жүйесінде, Google Chrome 4 Windows 7-де және Apple Safari 4 қосулы Mac OS X Snow Leopard. 2-ші күні Microsoft Internet Explorer 8 қосылды Windows Vista, Windows Vista-да Mozilla Firefox 3, Windows Vista-да Google Chrome 4 және Mac OS X Snow Leopard-да Apple Safari 4. 3-ші күні Microsoft Internet Explorer 8 қосылды Windows XP, Windows XP-де Mozilla Firefox 3, Windows XP-де Google Chrome 4 және Mac OS X Snow Leopard-да Apple Safari 4. Байқаудың ұялы телефон бөлігіне жалпы 100 000 АҚШ доллары көлеміндегі ақшалай сыйлық қорының 60 000 доллары бөлінді, олардың әрқайсысы 15 000 доллар болды.[51] Олардың қатарына Apple қосылды iPhone 3GS, RIM BlackBerry Bold 9700, Nokia E72 құрылғы жұмыс істейді Symbian, және HTC Nexus One жүгіру Android.

The Opera веб-шолғышы мақсат ретінде конкурстардан тыс қалды: ZDI командасы Opera-ның нарықтағы үлесі төмен болғанын және Chrome мен Safari-ді тек «әр түрлі мобильді платформаларда болғандықтан» қосқанын алға тартты. Алайда, операның рендерингтік қозғалтқышы, Presto, миллиондаған мобильді платформаларда бар.[53][54][55][56]

Табысты эксплуатациялардың арасында болған кезде Чарли Миллер Mac OS X жүйесінде Safari 4-ті сәтті бұзды.[30] Nils Windows 7 жүйесінде Firefox 3.6-ны бұзды 64 бит[30] жадтың бұзылуының осалдығын қолдану және ASLR мен DEP айналып өту, содан кейін Mozilla Firefox 3.6.3-тегі қауіпсіздік ақауларын жамады.[57] Ральф-Филипп Вайнманн мен Винченцо Иозцо iPhone 3GS-ті бұзып, жадтағы кодтың Apple-ден екенін тексеру үшін iPhone-да қолданылатын сандық код қолтаңбаларын айналып өтті.[30] Питер Врюгденхил Windows 7-де Internet Explorer 8-ті қолданып, екі осалды қолданып өтті ASLR және жалтару DEP.[30]

2011

2011 жылғы байқау 9-11 наурыз аралығында Ванкувердегі CanSecWest конференциясы кезінде өтті.[58] 2011 жылғы байқаудың веб-шолғышына Microsoft Internet Explorer, Apple Safari, Mozilla Firefox және Google Chrome кірді. Pwn2Own байқауында ұялы телефондарға, дәлірек айтсақ, ұялы телефонға шабуыл жасаудың жаңа бетіне рұқсат берілгендігі жаңалық болды базалық белдеулер. The ұялы телефон мақсаттар болды Dell Venue Pro жүгіру Windows Phone 7, iPhone 4 жүгіру iOS, BlackBerry Torch 9800 жүгіру BlackBerry ОЖ 6.0 және Nexus S жүгіру Android 2.3. Бірнеше команда жұмыс үстелінің браузері байқауына тіркелді. Apple Safari үшін тіркелген бәсекелестер қатарына VUPEN, Anon_07, Team Anon, Charlie Miller кірді. Mozilla Firefox құрамына Сэм Томас пен Аноним_1 кірді. Microsoft Internet Explorer командаларына Стивен Фьюер, ВУПЕН, Сэм Томас және Ахмед М Слит кірді. Google Chrome командаларына Moatz Khader, Team Anon және Ahmed M Sleet кірді. Мобильді браузер санатына келесі командалар тіркелді. Apple iPhone бұзу әрекеті үшін командаларға Anon_07, Дион Блазакис және Чарли Миллер, Team Anon, Anonymous_1 және Ahmed M Sleet кірді. RIM Blackberry-ді бұзу үшін командаларAnonymous_1, Team Anon және Ahmed M Sleet болды. Бұзу үшін Samsung Nexus S, командаларға Jon Oberheide, Anonymous_1, Anon_07 және Team Anonymous кірді. Бұзу үшін Dell Venue Pro, командалар кірді Джордж Хотц, Анонимді команда, Анонимді_1 және Ахмед М Слит.

Сайыстың алғашқы күні Safari және Internet Explorer зерттеушілерден жеңілді. Safari толығымен патчталған Mac OS X 10.6.6 жүйесінде орнатылған 5.0.3 нұсқасы болды. Француз қауіпсіздік фирмасы VUPEN бірінші болып шолғышқа шабуыл жасады. Internet Explorer 64 биттік Windows 7 Service Pack 1-де орнатылған 32 биттік 8 нұсқасы болды Стивен Аз Harmony Security компаниясы IE-ді табысты пайдаланды. Мұны Сафари сияқты дәлелдеді.[31] 2-ші күні iPhone 4 және BlackBerry Torch 9800 екеуі де қанауға ұшырады. IPhone iOS 4.2.1 нұсқасында жұмыс істеп тұрды, бірақ iOS 4.3 нұсқасында олқылық бар.[32] Қауіпсіздікті зерттеушілер Чарли Миллер және Дион Блазакис өздерінің эксплуатацияланған веб-сайттарына кіріп, Mobile Safari-дегі осалдықтар арқылы iPhone-дың мекен-жай кітабына қол жеткізе алды.[32] Blackberry Torch 9800 телефонында BlackBerry OS 6.0.0.246 жұмыс істеп тұрған. Винченцо Иозцо, Виллем Пинкайерс және Ралф Филипп Вейнманнның командасы Blackberry-дің WebKit негізіндегі веб-шолушысының осалдығын пайдаланып, бұрын дайындалған веб-сайттарына кірді.[32] Firefox, Android және Windows Phone 7 сынақтарын 2-ші күн ішінде өткізу жоспарланған болатын, бірақ осы платформалар үшін таңдалған қауіпсіздік зерттеушілері ешқандай эксплуатация жасамады. Firefox-ты сынақтан өткізу үшін Сэм Томас таңдалған болатын, бірақ ол өзінің эксплуатациясы тұрақты емес екенін айтып бас тартты. Android және Windows Phone 7 сынақтан өткізу үшін таңдалған зерттеушілер келмеді.[32] Үшінші күні бірде-бір команда келмеді. Chrome және Firefox хакерлері бұзылмаған.

2012

2012 жылы ережелер баллдық жүйемен байрақ стиліндегі байқауға өзгертілді.[13] Жаңа формат пайда болды Чарли Миллер Өткен жылдардағы іс-шарада сәттілікке жетіп, қатыспауға шешім қабылдады, өйткені Миллер үлкен командаларға ұнайтын ерліктерді «орнында» жазуды талап етті.[15] Хакерлер төрт ірі браузерге қарсы шықты.[15]

Pwn2Own 2012-де Chrome бірінші рет сәтті пайдаланылды. VUPEN ақпаратты сатамыз деп, құм жәшігінен қалай қашып кеткендерін айтудан бас тартты.[14] Windows 7-де Internet Explorer 9 сәтті пайдаланылды.[33] Firefox а-ны пайдаланып бұзылған үшінші браузер болды нөлдік күн пайдалану.[34]

Mac OS X Lion-дағы Safari - pwn2own-тың нөлдік күндік бөлігінің соңында қалған жалғыз шолғыш. Mac OS X Snow Leopard-да толық жамылмаған және жұмыс істемейтін Safari нұсқалары pwn2own бағдарламасының CVE бөлігі кезінде бұзылған. Mac OS X жүйесіндегі қауіпсіздікті азайтуға қатысты айтарлықтай жақсартулар Lion-та енгізілді.[59][60][дәйексөз қажет ]

Google-мен дау

Google іс-шараның демеушілігінен бас тартты, себебі 2012 жылғы ережелер жеңімпаздардың эксплуатацияларын, атап айтқанда, эксплуатацияларды толық ашуды талап етпеді, өйткені құммен қоршалған орта және «жеңіске жетпеген» ерліктерді көрсетті.[15] Pwn2Own шешімді қорғады, егер олардың әдістері туралы мәлімет қажет болса, ешқандай хакерлер Chrome-ды пайдалануға тырыспайды деп санайды.[15] Google жеке «Pwnium» байқауын ұсынды, ол Chrome-ға арналған эксплойттар үшін 60 000 долларға дейін ұсынды. Қолданылған хром емес осалдықтар туралы тиісті сатушыға дереу хабарлауға кепілдік берілді.[15] Сергей Глазунов пен «PinkiePie» деп танылған жасөспірім әрқайсысы қауіпсіздік құм жәшігін айналып өткен ерліктері үшін $ 60,000 тапты.[61][62] Google Pwnium ерліктері көрсетілгеннен кейін 24 сағаттан аз уақыт ішінде Chrome пайдаланушыларына түзету енгізді.[63]

2013

2013 жылы Google демеуші ретінде оралды және ережелер өзгертіліп, эксплуатация мен қолданылған техниканың толық ашылуын талап етті.[16] Mobile Pwn2Own 2013 байқауы 2013 жылдың 13-14 қарашасында Токиода өткен PacSec 2013 конференциясы кезінде өтті.[64] Windows 8 және Java-мен бірге Google Chrome, Internet Explorer және Firefox веб-шолғыштары пайдаланылды.[65] Adobe сонымен қатар Reader және Flash қосымшаларына қосылды.[35] Ешқандай командалар келмегендіктен, Mountain Lion-дегі Apple Safari-ге бағытталған жоқ.

Француздық VUPEN қауіпсіздік фирмасы Microsoft Surface Pro-да Windows 8-тің 64-биттік нұсқасын іске қосатын және браузерді бұзбай-ақ, Protected Mode құм жәшігін толығымен айналып өткен толық жаңартылған Internet Explorer 10-ды сәтті пайдаланды.[35] Содан кейін VUPEN командасы Mozilla Firefox, Adobe Flash және Oracle Java-ды пайдаланды.[36] Pinkie Pie $ 50,000 ұтып алды, және Google пайдаланылған осалдықтарды жою үшін 14 қарашада Chrome жаңартуларын шығарды.[37] MWRLabs компаниясындағы Nils пен Jon Chrome құм жәшігін айналып өту үшін WebKit және Windows ядроларының кемшіліктерін пайдаланып Google Chrome-ды сәтті пайдаланып, 100 000 доллар ұтып алды. Джордж Хотц Adobe Acrobat Reader-ді пайдаланып, құм жәшігінен қашып, 70 000 доллар ұтып алды. Джеймс Форшоу, Джошуа Дрейк және Бен Мерфи Oracle Java-ны тәуелсіз пайдаланып, әрқайсысы 20 000 доллар ұтып алды.

Мобильді байқауда қатысушылар 300 000 АҚШ доллары көлеміндегі сыйлық қорынан 117 500 доллар ұтып алғанын көрді.[64]

2014

Pwn2Own 2014 наурызда[66][67] Ванкуверде CanSecWest конференциясында өтті және демеушісі болды Hewlett-Packard.[68] Барлық төрт браузер зерттеушілердің қолына түсті,[69] және жалпы конкурсқа қатысушылар $ 1 855 000 бар бассейннің 850 000 долларын жеңіп алды.[70] VUPEN толығымен жаңартылған сәтті пайдаланылды Internet Explorer 11, Adobe Reader XI, 64 биттік нұсқасында Google Chrome, Adobe Flash және Mozilla Firefox Windows 8.1, барлығы $ 400,000 ұтып алу - бүгінгі күнге дейін жалғыз бәсекелеске төленген ең жоғары төлем. Компания нөлдік күндік жалпы 11 осалдығын пайдаланды.[71]

2014 жылғы басқа табысты ерліктердің арасында, Internet Explorer 11 Себастьян Апельт пен Андреас Шмидт 100 000 АҚШ доллары көлеміндегі сыйақы үшін пайдаланған.[68] Apple Safari қосулы Mac OS X Mavericks Windows 8.1 жүйесіндегі Adobe Flash және Keen Team командасының Лианг Чен мен team99 командасының Zeguang Zhao сәтті пайдаланған.[72] Mozilla Firefox бірінші күні үш рет, ал екінші күні тағы бір рет пайдаланылды, HP зерттеушілерге Firefox-тың сол жылы ашылған әрбір кемшілігі үшін 50 000 доллар сыйақы берді.[73] Вупен де, белгісіз қатысушы да Google Chrome-ды пайдаланды. Вупен бұл жарықшақ үшін 100000 доллар тапты, ал жасырын қатысушыда олардың жүлдесі $ 60,000 төмендетілді, өйткені олардың шабуылдары бір күн бұрын Google-дің Pwnium байқауында осалдыққа негізделген.[69] VUPEN командасының қызметкері Нико Джоли Windows Phone ( Lumia 1520 ), бірақ жүйені толық бақылауға ала алмады.[74] 2014 жылы Keen Lab зертханасы Windows 8.1 Adobe Flash-ті 16 секундта, сондай-ақ OSX Mavericks Safari жүйесін 20 секундта бұзды.[75]

2015–2017

Барлық қол жетімді сыйлықтар 2015 жылы Ванкуверде талап етілді және барлық браузерлер жалпы сомасы 557,500 доллар және басқа сыйлықтарға хакерлік шабуыл жасады. Үздік хакер Джунг Хун Ли болып шықты, ол «IE 11, Google Chrome-дің тұрақты және бета-нұсқаларын және Apple Safari-ді» шығарып, 225000 доллар ақшалай сыйлыққа ие болды. Басқа хакерлерге Team509 және KeenTeem Adobe Flash-ті бұзу және Adobe Reader-дегі басқа үзілістер кірді. Жалпы Windows амалдық жүйесінде 5, Internet Explorer 11-де 4, Firefox, Adobe Reader және Adobe Flash-та 3, Safari-де 2, Chrome-да 1 қате болды.[76] Google 2015 жылы Pwn2Own демеушісі болуды тоқтатты.[17]

2016 жылғы наурыздағы байқауда «жеңімпаздардың әрқайсысы базалық ОЖ-дағы осалдықтарды пайдалану арқылы құмды қорғаныс әсерін азайтудың алдын алды».[77] 2016 жылы Chrome, Microsoft Edge және Safari-дің барлығы бұзылды.[78] Брайан Горенцтің айтуынша, осалдықты зерттеу менеджері HPE, олар Firefox-ты сол жылы қоспауды жөн көрді, өйткені «соңғы жылы қауіпсіздікті жақсартқан браузерлерге назар аударғымыз келді».[79] 2016 жылы Qihoo360 пикселді 60 секундтың ішінде сәтті бұзды.[80]

2017 жылы наурызда Ванкуверде хакерлер алғаш рет VMWare виртуалды машинасының құм жәшігін бұзды.[81] 2017 жылы Chrome-да сәтті хакерлер болған жоқ (бірақ бір ғана команда Chrome-ды нысанаға алуға тырысқанымен), Firefox, Safari және Edge ретіндегі ең жақсы шолушылар болды.[82] Mobile Pwn2Own 2017 жылдың 1 және 2 қарашасында өтті.[83] Конкурсқа Apple, Google және Huawei өкілдері қатысты.[84] Әр түрлі смартфондар, соның ішінде Apple-дің iOS 11.1 бағдарламалық жасақтамасын қолданатындар да сәтті бұзылды. «11 сәтті шабуыл» iPhone 7-ге қарсы болды Huawei Mate 9 Pro және Samsung Galaxy S8. Google Pixel бұзылған жоқ.[83] Жалпы, сол жылы ZDI нөлдік күндік 51 қатені ашуға 833000 доллар сыйақы берді.[85] Qihoo 360 командасы 2017 жылы бас жүлдені жеңіп алды.[80]

2018

2018 жылы конференция әлдеқайда аз болды және демеушілік негізінен Майкрософт болды. Бұрын Қытай азаматтары жеңіске жеткеніне қарамастан, Қытай өзінің қауіпсіздік саласындағы зерттеушілерінің конкурсқа қатысуына тыйым салған және шетелдіктердің қауіпсіздігінің осалдығын жария етуге тыйым салған.[19] Сондай-ақ, Тенцент Keen Labs және Qihoo 360-тің 360Vulcan тобы кірген жоқ, басқа да қытайлықтар болған жоқ.[85] A Тяньфу кубогы кейіннен жылына екі рет өтетін «Pwn2Own-тың қытайлық нұсқасы» ретінде жасалған.[86] Сондай-ақ, 2018 конференциясының алдында Microsoft Edge-дің бірнеше осалдығын жамап, көптеген командалардың кетуіне себеп болды. Дегенмен, Edge, Safari, Firefox және басқаларында белгілі бір саңылаулар табылды.[87] Chrome-ға қарсы хакерлік әрекеттер жасалмады,[19][88] ұсынылған сыйақы Edge-мен бірдей болғанымен.[89] Ақыры хакерлерге 267 000 доллар сыйақы берілді.[87] Көптеген Microsoft өнімдері олар арқылы қол жеткізе алатын кез-келген адамға қол жетімді үлкен сыйақыларға ие болса, тек Edge ғана, сонымен қатар Safari және Firefox сәтті пайдаланылды.[19]

2019

2019 жылғы наурызда Ванкуверде CanSecWest конференциясында санаттармен бірге өтті VMware ESXi, VMware Workstation, Oracle VirtualBox, Chrome, Microsoft Edge және Firefox, сондай-ақ Tesla.[3] Tesla өзінің жаңасына енді 3-модель седан, зерттеушілер жұбы $ 375,000-пен жұмыс істейді және ауыр машинаны тапқаннан кейін олар бұзып алды жадты рандомизациялау автомобильдегі қате ақпарат-сауық жүйе.[20] Бұл құрылғыларды бұзу бірінші жыл болды үйді автоматтандыру санатына рұқсат етілді.[38]

2019 жылдың қазанында, Саяси Pwn2Own келесі шығарылымында өнеркәсіптік басқару жүйелері қосылғандығы туралы хабарлады.[21] Pwn2Own Токио 6 қарашадан 7 қарашаға дейін өтті, оған 750 000 АҚШ доллары ақшалай сыйлықтар мен сыйлықтар табысталады деп күтілді. Facebook порталы сияқты енгізілді Amazon Echo Show 5, а Google Nest Максимум, ан Amazon Cloud Камера және а Nest Cam Ішкі IQ. Сондай-ақ, кірді Oculus Quest виртуалды шындық жиынтығы.[20] 2019 жылы команда Amazon Echo Show 5-ті бұзу үшін $ 60,000 ұтып алды. Олар мұны ескі бағдарламалық жасақтаманы басқа платформаларға жабыстырған «патч аралықты» бұзу арқылы жасады, өйткені ақылды экран ескі нұсқасын қолданды Хром.[90][4] Команда нәтижелерімен Amazon-мен бөлісті,[38] ол хакті тексеріп жатқанын және «тиісті қадамдар» жасайтынын айтты.[90]

2020

Pwn2Own байқауының жаңа басылымы өтті[қашан? ] Майамиде S4 конференциясында, бірге SCADA және ХМИ тек категориялар.[91]

Pwn2Own келесі шығарылымы 2020 жылы наурызда Ванкуверде CanSecWest конференциясында өтеді.[дәйексөз қажет ][жаңартуды қажет етеді ]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ а б c Руиу, Драгос (20.03.2007). «PWN to OWN (Re: Apple зерттеушілерге веб-шабуылды қалай ұйымдастырды)». Архивтелген түпнұсқа 2012 жылғы 27 мамырда. Алынған 1 сәуір, 2012.
  2. ^ а б c Гудин, Дэн (20 сәуір 2007). «Safari-дің нөлдік күндік эксплуатациялық торлары $ 10,000 сыйлығы». Ванкувер: Тізілім. Алынған 10 сәуір 2010.
  3. ^ а б c г. e f Гудин, Дэн (14 қаңтар, 2019), Pwn2Own конкурсы осы Tesla-ны пайдаланатын хакерлер үшін 900 000 доллар төлейді, Ars Technica, алынды 16 тамыз, 2019
  4. ^ а б c г. e Whittaker, Zack (9 қараша, 2019), Екі қауіпсіздік зерттеушісі Amazon Echo-ны бұзғаны үшін $ 60,000 тапты., TechCrunch, алынды 14 қараша, 2019
  5. ^ а б c г. Форслофф, Терри (3 мамыр 2007). «Apple QuickTime қателігі үшін патч шығарды». Архивтелген түпнұсқа 2012 жылдың 25 қаңтарында. Алынған 1 сәуір, 2012.
  6. ^ а б c Форслофф, Терри (2009 ж. 25 ақпан). «Pwn2Own 2009». Сандық вакцина зертханалары. TippingPoint. Архивтелген түпнұсқа 2010 жылғы 29 наурызда. Алынған 11 сәуір 2010.
  7. ^ а б c г. e Нарейн, Райан (26 наурыз, 2007). «Mac хакерлік джунглиде қанша уақыт өмір сүре алады?». Архивтелген түпнұсқа 2013 жылдың 25 қаңтарында. Алынған 1 сәуір, 2012.
  8. ^ Нарейн, Райан (1 ақпан, 2007). «OS X ZERT баламасын қарастыратын Mac Developer». Алынған 1 сәуір, 2012.
  9. ^ Orchant, Marc (6 ақпан, 2007). «Бас тартуға немесе рұқсат беруге бола ма? Vista UAC-та жақсы серпіліс». Алынған 1 сәуір, 2012.
  10. ^ а б «Нөлдік күн бастамасы туралы». Нөлдік күн бастамасы. Архивтелген түпнұсқа 2012 жылғы 18 наурызда. Алынған 1 сәуір, 2012.
  11. ^ а б c г. e Форслофф, Терри (2008 ж. 19 наурыз). «CanSecWest PWN to OWN 2008 (жаңартылған)». Архивтелген түпнұсқа 2012 жылдың 14 наурызында. Алынған 1 сәуір, 2012.
  12. ^ а б c г. e Руиу, Драгос (20 наурыз, 2008). «CanSecWest 2008 PWN2OWN - 26-28 наурыз». Алынған 1 сәуір, 2012.
  13. ^ а б «Нөлдік күн бастамасы». Архивтелген түпнұсқа 2012-03-01.
  14. ^ а б c Нарейн, Райан (2012 ж. 7 наурыз), Pwn2Own 2012: Google Chrome браузерінің құм жәшігі алдымен құлдырайды, ZDnet
  15. ^ а б c г. e f Нарейн, Райан (2012 ж. 7 наурыз), Чарли Миллер Pwn2Own-ны аттап өтіп жатыр, өйткені жаңа ережелер хакерлік ойынды өзгертеді, ZDnet
  16. ^ а б Қауіпсіздік дағдыларыңызды көрсетіңіз: Pwn2Own және Pwnium 3, Chromium блогы, 28 қаңтар, 2013 жыл
  17. ^ а б Кейзер, Грегг (2016 жылғы 14 қыркүйек), Google жаңа Android хакерлік сынағында ең жоғарғы сыйлық үшін $ 200K ұсынады, Компьютер әлемі, алынды 28 қараша, 2019
  18. ^ а б «Pwn2Own 2015: әрбір веб-шолғыш төмендеген жыл | ZDNet». ZDNet. Алынған 2015-11-25.
  19. ^ а б c г. Армасу, Люциан. «Pwn2Own 2018: браузерлерді бұзу қиынға соғатындықтан ядро ​​эксплуатациясына фокустық өзгерістер». Tom's Hardware. Сатып алу тобы. Алынған 27 қыркүйек 2018.
  20. ^ а б c г. Whittaker, Zack (28 тамыз 2019), Мазмұнды бұзу кезінде хакерлер Facebook порталын стресс-тесттен өткізеді, TechCrunch, алынды 16 тамыз, 2019
  21. ^ а б Старкс, Тим (2019 ж. 29 қазан), «Энергетика және коммерцияның болашағы мен өткені», Саяси, алынды 28 қараша, 2019
  22. ^ а б c «Apple QTJava toQTPointer () көрсеткіштің арифметикалық жадының үстінен жазудың осалдығы». Алынған 31 наурыз 2012.
  23. ^ а б c Ваас, Лиза (2007 ж. 20 сәуір). «Pwn-2 байқауында Mac Safari браузері арқылы бұзылды». eWeek. Архивтелген түпнұсқа 2013 жылдың 22 қаңтарында. Алынған 10 наурыз, 2011.
  24. ^ а б c г. «Apple Safari WebKit PCRE бүтін толып кетудің осалдығын өңдеу». 16 сәуір, 2008. мұрағатталған түпнұсқа 20 қараша 2012 ж. Алынған 1 сәуір, 2012.
  25. ^ а б c г. «Adobe Flash Player декларация функциясы2 нысанды қолданудың осалдығы жарамсыз». 8 сәуір, 2008 ж. Алынған 1 сәуір, 2012.
  26. ^ а б «Apple OS X ATSServer қаріптің ықшам форматы, жадтың бұзылуының осалдығын талдау». 2009 жылғы 13 мамыр. Алынған 1 сәуір, 2012.
  27. ^ а б Форслофф, Терри (18.03.2009). «Pwn2Own 2009 күн 1 - Safari, Internet Explorer және Firefox төрт күндік эксплуатациямен жойылды». Архивтелген түпнұсқа 2009 жылғы 22 наурызда. Алынған 1 сәуір, 2009.
  28. ^ а б «Apple Safari қате SVGList талдау кодын орындау осалдығы». 2009 жылғы 13 мамыр. Алынған 1 сәуір, 2012.
  29. ^ а б «Mozilla Firefox XUL _moveToEdgeShift () жадының бұзылуының осалдығы». 2009 жылғы 30 наурыз. Алынған 1 сәуір, 2012.
  30. ^ а б c г. e f ж сағ мен Миллс, Элинор (24.03.2010). «iPhone, Safari, IE 8, Firefox CanSecWest байқауында бұзылды». CNet. Алынған 10 сәуір 2010.[өлі сілтеме ]
  31. ^ а б c «бірінші күні: Safari, IE8 құлдырауы, хром жоқ». Арстехника.
  32. ^ а б c г. e f ж сағ мен «Pwn2Own 2 күн: iPhone, BlackBerry ұрылды; Chrome, Firefox тыйым салынды». Арстехника.
  33. ^ а б Гудин, Дэн (8 наурыз, 2012), IE 9, ең қауіпсіз Windows жүйесінде, хакерлер сайысына түсетін келесі шолғыш, Ars Technica
  34. ^ а б c Зерттеушілер Firefox-ті нөлдік күндік қателіктермен бұзады, ZDnet, 9 наурыз 2012 ж Мұрағатталды 13 наурыз 2012 ж., Сағ Wayback Machine
  35. ^ а б c 02:04, 8 наурыз 2013 ж .; tweet_btn (), Иайн Томсон. «Pwn2Own: IE10, Firefox, Chrome, Reader, Java 500 миллион долларды бұзады». Тізілім.CS1 maint: сандық атаулар: авторлар тізімі (сілтеме)
  36. ^ а б c «Pwn2Own 2013». Hewlett Packard Enterprise. 2 наурыз 2013. мұрағатталған түпнұсқа 2013 жылғы 10 наурызда. Алынған 10 наурыз 2013.
  37. ^ а б Android жаңартуға арналған Chrome, Google Chrome, 14 қараша, 2013 жыл, алынды 17 қараша, 2019
  38. ^ а б c Мур, Майк (12 тамыз, 2019), Amazon Echo қауіпсіздіктің ескі кемшіліктеріне осал, Энгаджет, алынды 14 қараша, 2019
  39. ^ а б «Нөлдік күн бастамасы - Pwn2Own Токио 2019 - бірінші күннің нәтижелері». Нөлдік күн бастамасы. Алынған 2020-01-13.
  40. ^ а б «Zero Day Initiative - Pwn2Own Tokyo 2019 - Екінші күннің қорытынды нәтижелері». Нөлдік күн бастамасы. Алынған 2020-01-13.
  41. ^ Нарейн, Райан (2007 ж. 23 сәуір). «MacBook хакері Дино Дай Зовиге 10 сұрақ». ZDNet. Алынған 16 қараша 2010.
  42. ^ «PWN to IWN Екінші күні: Бірінші жеңімпаз шығады! (Жаңартылған)». 27 наурыз, 2008. мұрағатталған түпнұсқа 2012 жылдың 12 сәуірінде. Алынған 1 сәуір, 2012.
  43. ^ «PWN to ON: Final Day (және тағы бір жеңімпаз!)». 28 наурыз, 2008. мұрағатталған түпнұсқа 2012 жылдың 12 сәуірінде. Алынған 1 сәуір, 2012.
  44. ^ Кеббел-Виен, Джон (4 сәуір, 2008). «Adobe Product Security Incident Response Team (PSIRT) Blog / CanSecWest 2008 Pwn2Own Конкурсы». Архивтелген түпнұсқа 2012 жылғы 17 сәуірде. Алынған 1 сәуір, 2012.
  45. ^ Руиу, Драгос (15 ақпан, 2009). «CanSecWest 2009 спикерлері және Dojo курстары (14-20 наурыз)». Алынған 1 сәуір, 2012.
  46. ^ а б c г. Руиу, Драгос (18.03.2009). «PWN2OWN қорытынды ережелері». Архивтелген түпнұсқа 2012 жылдың 4 сәуірінде. Алынған 1 сәуір, 2012.
  47. ^ Форсман, Крис (27.03.2009). «Pwn2Own жеңімпазы Mac-тың қауіпсіздігі аз, бірақ қауіпсіздігі аз дейді». Ars Technica. Алынған 11 сәуір 2010.
  48. ^ «Microsoft Internet Explorer 8 жолының сипаты ілулі тұрған көрсеткіштің кодын орындау осалдығы». 10 маусым 2009 ж. Алынған 1 сәуір, 2012.
  49. ^ Тиннес, Джулиен. «Бір рет жазыңыз, бәріне иелік етіңіз, Java сериясыздандыру мәселелері». Алынған 8 қыркүйек 2013.
  50. ^ Форслофф, Терри (2009 ж. 21 наурыз). «Pwn2Own орау». Архивтелген түпнұсқа 2012 жылғы 11 ақпанда. Алынған 1 сәуір, 2012.
  51. ^ а б c Портной, Аарон (15 ақпан 2010). «Pwn2Own 2010». TippingPoint. Архивтелген түпнұсқа 2010 жылғы 13 сәуірде. Алынған 10 сәуір 2010.
  52. ^ «Safari 4.0.5 қауіпсіздік мазмұны туралы». Apple Inc. 15 наурыз 2010 ж. Алынған 4 мамыр 2010.
  53. ^ «Opera Mini маңызды межеге жетті - 50 миллион белсенді қолданушыны кесіп өтеді». Opera Software ASA. 12 ақпан 2010. мұрағатталған түпнұсқа 2011 жылдың 23 желтоқсанында. Алынған 23 шілде 2011.
  54. ^ "One browser. 3000 phones". Opera Software ASA. 8 шілде 2010. мұрағатталған түпнұсқа 2011 жылғы 8 шілдеде. Алынған 23 шілде 2011.
  55. ^ "One hundred million". Opera Software ASA. February 10, 2011. Archived from түпнұсқа 2011 жылғы 6 тамызда. Алынған 23 шілде 2011.
  56. ^ "Opera reaches (another) 100 million users". Opera Software ASA. 7 сәуір 2011. мұрағатталған түпнұсқа 2011 жылғы 13 шілдеде. Алынған 23 шілде 2011.
  57. ^ "Mozilla Foundation Security Advisory 2010-25 - Re-use of freed object due to scope confusion". Mozilla. 2010 жылғы 1 сәуір. Алынған 10 сәуір 2010.
  58. ^ Announcing Pwn2Own 2011, TippingPoint Digital Vaccine Laboratories Blog, February 2, 2011, archived from түпнұсқа 2011 жылғы 10 ақпанда
  59. ^ PWN2OWN 2012 rules Мұрағатталды 2012 жылғы 1 наурыз Wayback Machine
  60. ^ PWN2OWN 2012 status Мұрағатталды 26 маусым 2012 ж Wayback Machine
  61. ^ Naraine, Ryan (March 7, 2012), CanSecWest Pwnium: Google Chrome hacked with sandbox bypass, ZDnet
  62. ^ "At hacking contest, Google Chrome falls to third zero-day attack (Updated)". Ars Technica.
  63. ^ "After the pwnage: Critical Google Chrome hole plugged in 24 hours". Ars Technica.
  64. ^ а б Constantin, Lucian, Researchers hack Internet Explorer 11 and Chrome at Mobile Pwn2Own, PCWorld, алынды 18 қараша, 2019
  65. ^ "Chrome; Firefox; IE 10; Java; Win 8 fall at #pwn2own hackfest". SC журналы. Архивтелген түпнұсқа 2013-03-10. Алынған 2013-03-07.
  66. ^ "Pwn2Own results for Wednesday (Day One)". Архивтелген түпнұсқа 2014-03-16. Алынған 2014-03-15.
  67. ^ "Pwn2Own results for Thursday (Day Two)". Архивтелген түпнұсқа 2014-03-17. Алынған 2014-03-15.
  68. ^ а б Westervelt, Robert (June 10, 2014), Microsoft Fixes 57 Internet Explorer Flaws, Addresses Hacker Contest Bugs, CRN, алынды 19 қараша, 2019
  69. ^ а б Keizer, Gregg (March 17, 2014), Google patches $310K worth of Chrome, Chrome OS bugs, ComputerWorld, алынды 18 қараша, 2019
  70. ^ Tung, Liam (March 14, 2014), Pwn2Own: 14 browser and plugin exploits the NSA won't be buying, Zdnet, алынды 18 қараша, 2019
  71. ^ "At this year's #Pwn2Own we used a total of 11 zero-days & we reported *full* exploits (including sandbox escapes) to HP+Vendors to fix them!". Архивтелген түпнұсқа 2015-04-02. Алынған 2014-03-15.
  72. ^ "Listy Things". Архивтелген түпнұсқа on 2016-03-20.
  73. ^ Kerner, Sean Michael (March 14, 2014), Pwn2Own 2014 Claims IE, Chrome, Safari and More Firefox Zero-Days, eWeek, алынды 18 қараша, 2019
  74. ^ "Windows Phone security sandbox survives Pwn2Own unscathed". Ars Technica. 13 қараша, 2014 ж.
  75. ^ Deng, Iris, Tencent-backed hackers who drew praise from Elon Musk once revealed flaws in Apple’s iOS, South China Morning Post, алынды 29 қараша, 2019
  76. ^ "Every browser goes down". Zdnet. 2015 жылғы 23 наурыз.
  77. ^ Pauli, Darren (August 4, 2016), Hackers detail the blood and guts of the 2016 Pwn2Own exploit expo, алынды 29 қараша, 2019
  78. ^ "Chrome, Edge, and Safari all hacked". VentureBeat. 2016 жылғы 18 наурыз.
  79. ^ "Pwn2Own 2016: Windows Most Hacked, Edge Holds Its Own, Firefox Missing In Action". eWeek.
  80. ^ а б Stangel, Luke (January 22, 2018), Google just cut a check for its biggest bug bounty in history, Silicon Valley Business Journal, алынды 29 қараша, 2019
  81. ^ Russon, Mary-Ann (March 21, 2017), VMWare virtual machine finally hacked at Pwn2Own 2017 security conference, алынды 28 қараша, 2019
  82. ^ "Pwn2Own2017: Chrome the winner". SecurityZap.[өлі сілтеме ]
  83. ^ а б Heller, Michael (November 3, 2017), Researchers hack iOS 11 at Mobile Pwn2Own 2017, алынды 28 қараша, 2019
  84. ^ Brewster, Thomas (November 1, 2017), "Apple Warned About Evil Wi-Fi Attack That Installs Malware On iPhones", Forbes
  85. ^ а б Blue, Violet (March 16, 2018), When China hoards its hackers everyone loses, Энгаджет
  86. ^ Abacus (November 19, 2019), Chinese hackers break into Chrome, Microsoft Edge and Safari in competition, South China Morning Post, алынды 27 қараша, 2019
  87. ^ а б "Hackers Awarded $267,000 at Pwn2Own 2018". Security Week.
  88. ^ Kerner, Sean Michael. "Pwn2Own 2018 Hackers Earn $162K for Safari, Edge, VirtualBox Exploit". eWEEK. QuinStreet Enterprise. Алынған 27 қыркүйек 2018.
  89. ^ "Pwn2Own 2018 Rules". Zero Day Initiative. Архивтелген түпнұсқа 18 маусым 2018 ж. Алынған 27 қыркүйек 2018.
  90. ^ а б Fingas, Jon (November 10, 2019), Amazon Echo Show falls victim to an old flaw at hacking contest, TechRader, алынды 14 қараша, 2019
  91. ^ Childs, Dustin (January 21, 2020). "PWN2OWN Miami 2020 - Schedule and Live Results". TheZDI.com. Алынған 16 наурыз, 2020.

Сыртқы сілтемелер