مسابقات PWN۲OWN؛ شناسایی آسیب‌پذیری در محصولات اپل، ادوبی و مایکروسافت

مسابقات PWN۲OWN چالشی است که در آن شرکت‌کنندگان سعی می‌کنند در محصولات نرم‌افزاری معروف آسیب‌پذیری‌هایی را شناسایی و از آن‌ها سوء‌استفاده نمایند.
در مسابقات سال جاری میلادی که در ونکووِر برگزار شد، آسیب‌پذیری‌هایی در محصولات مهم نرم‌افزاری از جمله مرورگر سافاری اپل و مرورگر Edge مایکروسافت شناسایی شده است.
آسیب‌پذیری در محصولات نرم‌افزاری متن‌بسته‌ی تجاری اغلب نقطه‌ی آغاز حملات سایبری و انتشار بدافزار است.
در مسابقات PWN۲OWN که هر سال برگزار می‌شود، شرکت‌های نرم‌افزاری به شرکت‌کنندگانی که موفق به شناسایی آسیب‌پذیری‌های نرم‌افزاری شوند، هدایای نقدی پرداخت می‌کنند.
این مسابقات شبیه به برنامه‌های اهدای جایزه در قبال کشف آسیب‌پذیری یا Bug Bounty Program است که بعضی شرکت‌ها به صورت جداگانه به پژوهش‌گرانی که موفق به شناسایی آسیب‌پذیری شده‌اند، جوایز نقدی پرداخت می‌کنند.
در روز اول مسابقات سال جاری، پژوهش‌گری به نام JungHoon Lee که سال گذشته اولین بار در این مسابقات شرکت کرده بود، امسال موفق شد با شناسایی آسیب‌پذیری‌های متعددی از جمله یک آسیب‌پذیری استفاده پس از آزادسازی در مرورگر سافاری در حدود ۶۰ هزار دلار جایزه دریافت کند. سال گذشته این پژوهش‌گر با شناسایی آسیب‌پذیری‌های مرورگر کروم در کم‌تر از ۲ دقیقه موفق شده بود ۱۱۰ هزار دلار جایزه‌ی نقدی از گوگل دریافت کند.
گروه دیگری از پژوهش‌گران که با نام ۳۶۰Vulcan در این مسابقات شرکت کرده‌اند، موفق به شناسایی آسیب‌پذیری‌هایی در محصول فلش پلیر ادوبی شدند و در یک گام ۸۰ هزار دلار جایزه دریافت کردند. البته آسیب‌پذیری که این گروه شناسایی کرد به کمک آسیب‌پذیری دیگری در هسته‌ی ویندوز منجر به افزایش مجوز دست‌رسی از حالت کاربر ساده به مجوزهای سیستمی می‌شد.
تلاش‌های دیگری برای نفوذ به فلش نیز صورت گرفت که یکی از آن‌ها موفق بود و دیگری در بازه‌ی کم‌تر از ۱۵ دقیقه به نتیجه نرسید و در نتیجه مورد قبول واقع نشد.
این اولین سالی بود که نفوذگران می‌توانستند آسیب‌پذیری‌های محصول VMWare’s Workstation را که در سامانه‌عامل ویندوز مورد استفاده کاربران است را شناسایی نمایند، در صورتی که شرکت‌کنندگان موفق می‌شدند از آسیب‌پذیری‌های این محصول سوء‌استفاده نمایند‌، می‌توانستند در حدود ۷۵ هزار دلار جایزه را از آن خود کنند، که هیچ تیمی موفق به سوء‌استفاده از این آسیب‌پذیری نشد.
در روز دوم این مسابقات تیم Tencent Security Sniper موفق شد رکورد سال گذشته را بشکند و در کم‌تر از ۲ دقیقه آسیب‌پذیری‌های مرورگر Edge مایکروسافت را شناسایی کند و با کسب ۳۸ امتیاز و دریافت مبلغ ۱۴۲٫۵۰۰ هزار دلار در مجموع اول شود.
هم‌چنین نفر اول سال گذشته یعنی JungHoon Lee با کسب ۲۵ امتیاز و مبلغ ۱۴۵ هزار دلار جایزه‌ی نقدی دوم شد.
تیم ۳۶۰Vulcan با کسب ۲۵ امتیاز و مبلغ ۱۳۲٫۵۰۰ هزار دلار جایزه نیز مقام سوم را کسب کرد.
در مجموع امسال، ۲۱ آسیب‌پذیری جدید کشف شد؛ ۶ آسیب‌پذیری در ویندزو مایکروسافت، ۵ آسیب‌پذیری در سامانه‌عامل OS X اپل، ۴ آسیب‌پذیری در فلش‌پلیر ادوبی، ۳ آسیب‌پذیری در مرورگر سافاری اپل، ۲ آسیب‌پذیری در مرورگر Edge مایکروسافت و یک آسیب‌پذیری در مرورگر کروم گوگل.
این مسابقات، بسیار فنی و سطح بالا می‌باشد، در عمل شرکت‌کنندگان باید با مفاهیم پایه‌ای زیادی آشنا باشند تا بتوانند آسیب‌پذیری‌ها را شناسایی و از آن‌ها سوء‌استفاده نمایند. اغلب شرکت‌های نرم‌افزاری مهم از جمله مایکروسافت، اپل و گوگل ارزش زیادی برای این مسابقات قائل هستند و پس از برگزاری آن سعی در رفع آسیب‌پذیری‌های محصولات خود می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]