مسابقات PWN2OWN از سال 2007 در حال برگزاری هستش و تاکنون هیچ زنی نتونسته برنده کامل این مسابقات بشه. اما این طلسم در مسابقات Pwn2Own 2024 ونکور، توسط Valentina Palmiotti و Emma Kirkpatrick از طریق اکسپلویت آسیب پذیری در کرنل ویندوز 11 شکسته شد.
قبلا Amy Burnett و Alisa Esage در این سری مسابقات شرکت کرده بودن که Esage در سال 2021 تونسته بود موفقیت مختصری داشته باشه.
در مسابقات Pwn2Own 2024 که در مارس برگزار شد، Palmiotti که با نام Chompie شناخته میشه، برای اولین بار در این دوره از مسابقات شرکت کرد و با کشف یک آسیب پذیری از نوع Improper Update of Reference Count ، امکان افزایش امتیاز روی ویندوز 11 رو بدست آورد و برنده شد.
مسابقات Pwn2Own یکی از معتبرترین مسابقات هک دنیا هستش و با پشتیبانی مالی Zero Day Initiative برگزار میشه. در این مسابقات شرکت کنندگان محصولات و دستگاههای معتبر و محبوب رو با آسیب پذیری 0day اکسپلویت میکنن. برای آشنایی با این مسابقات، میتونید این لینک رو مشاهده کنید.
اخیرا Security Intelligence مصاحبه ای با Palmiotti، محقق آسیب پذیری در IBM X-Force Red انجام داده تا مسیری که ایشون رو تبدیل به یک هکر اخلاقی کرد رو بازگو کنه. در این پست این مصاحبه جالب رو پوشش دادیم.
برامون از سوابقتون بگین، چی باعث شد که علاقمند به تحقیقات در زمینه ی هک و اکسپلویت بشید؟
من بطور تصادفی وارد امنیت سایبری شدم. این دومین شغله منه. قبلا در زمینه ی اقتصاد کلان فعالیت میکردم و تجربه خوبی نداشتم. بطور کلی در یک نقطه سخت از زندگیم بودم. بنابراین برنامه ی زندگیم رو بررسی کردم و سعی کردم به این فکر کنم که چه چیزی برام مناسب تره. من همیشه به فناوری و کامپیوتر علاقه داشتم. تویه خیالاتم، ایده هکر بودن یا انجام کارهایی شبیه به اون، برام جذاب بود حتی اگه چیزی در موردش نمیدونستم.
بعد از بررسی متوجه شدم که یک بوت کمپ آموزشی برای آموزش امنیت سایبری در شهری که من اونجا زندگی میکردم در حال برگزاریه. بنابراین ثبت نام کردم و وارد این بوت کمپ شدم و از اون زمان در صنعت امنیت سایبری هستم. در حال حاضر حدود یک سال و نیمی هستش که در IBM X-Force Red مشغول به کارام.
چرا میخواستید در Pwn2Own شرکت کنید؟
این کار بعنوان یک رسم و سنت برا هکراست. نشون دهنده اینه که میتونید باگهارو در دستگاههای واقعی پیدا کنید و از اونا برای نشون دادن مهارتهای خودتون استفاده کنید. هدفم شرکت در مسابقه بود و با شغلی که الان دارم این فرصت برام فراهم شد.
شما اولین زنی بودید که در مسابقات Pwn2Own تونستید به موفقیت کامل برسید و این چیز کمی نیست. در این مسابقات چند زن شرکت کرده بودن؟
از نظر تنوع جنسیتی، این مسابقه خیلی قوی نیست. (حضور زنان کمه)
به نظرتون چرا زنها علاقه زیادی به هک اخلاقی ندارن؟
من فکر میکنم زنان هم به این حوزه علاقه مندن، اما عوامل مختلفی وجود داره که مانع ورود اونا میشه.
اول اینکه، مسیر یادگیری یا شغل مشخصی برای امنیت تهاجمی تعریف نشده. بعضی از افراد از طریق هک کردن بازی و یا دستکاری تکنولوژیهای دیگه وارد این حوزه میشن. اگه کسی اهل بازی نباشه یا به رویدادهایی مثل CTF علاقمند نباشه، خیلی سخت میشه فهمید که چنین شغلهایی اصلا وجود داره. در مورد خودم، اگه یک راهنما نداشتم که اصول اولیه هک رو بهم نشون بده، هرگز علاقه و استعدادم رو در این زمینه کشف نمیکردم.
دومیشم اینکه، این کار یه ذره خودباوری میخواد، چون باید بری سراغ یه سیستم و تا تهش رو دربیاری، حالا چه یه هفته طول بکشه چه یه ماه. واسه اینکه جا نزنی، لازمه که به خودت و غریزههات مطمئن باشی. اما از اون طرف، همین اخلاق شاید باعث بشه با آدمای تازه وارد، خوش برخورد نباشن. راستش رو بخوای، وارد شدن به همچین محیطی آدمو میترسونه، مخصوصا با این سابقهای که از هکر بودن تو ذهن مردم هست.
به طور کلی، این صنعت باید روی ایجاد فضایی بازتر و فراهم کردن فرصتهای یادگیری برای همه، بدون زیر سوال بردن صلاحیت اونا برای ورود به این حوزه، کار کنه.
در خصوص مسابقات PWN2OWN برامون بگید، چه اتفاقی در این رویداد می افته:
Zero Day Initiative چند ماه قبل از شروع مسابقه، لیستی از اهداف رو منتشر میکنه. برای اینکه در یک دسته بندی برنده بشید، باید یک آسیب پذیری زیرودی رو کشف و اونو اکسپلویت کنید. در زمان مسابقه، باید این اکسپلویت رو روی هدف نشون بدید. اکسپلویتها همیشه قطعی نیستن و ممکنه با موفقیت اجرا نشن. شما برای نمایش اکسپلویتتهاتون 3 بار فرصت دارید که هرکدومشون محدودیت 10 دقیقه ای دارن. اهدافی که در مسابقه هستن بطور کامل با آخرین اصلاحات امنیتی بروزرسانی شدن.
بعد از اینکه اکسپلویت رو نمایش دادید و با موفقیت تونستید هدف رو هک کنید، شما به اتاق پشتی میرید تا جزییات آسیب پذیری، نحوه اکسپلویت اون رو توضیح بدید و در صورتیکه سوالی هم باشه، به اونا پاسخ بدید.
Zero Day Initiative، آسیب پذیری و اکسپلویت شمارو در دیتابیس باگهای گزارش شده، بررسی میکنن. اگه موردی پیدا نشد، به سراغ سازنده میرن. با توجه به اینکه آسیب پذیری من در ویندوز بود، با مایکروسافت صحبت کردم. سازنده دیتابیس آسیب پذیریهاش رو بررسی میکنه و اگه موردی نباشه، شما رسما برنده ی این مسابقه میشید.
مسابقه ی Pwn2own 2024 در ماه مارس بود، آیا آسیب پذیری گزارش داده شما، اصلاح شده:
نه هنوز. سازندگان بعد از گزارش، 90 روز فرصت دارن تا آسیب پذیری رو اصلاح کنن. بنابراین ماه آینده (ژوئن) براش اصلاحیه منتشر میشه.
با توجه به اینکه آسیب پذیری هنوز اصلاح نشده، آیا چیزی هست که بتونید در موردش برامون بگید:
نمیتونم وارد جزییات بشم، اما این یک باگ در یکی از مولفه های کرنلی ویندوز بود. نوع این باگ که البته دیگه پابلیک شده، improper reference count update هستش. قراره بعد از اینکه این باگ رو برطرف کردن، یه پست تو وبلاگم منتشر کنم و کل ماجرا رو تعریف کنم.
در برنامه نویسی، reference count یک روش برای مدیریت حافظه پویاست. به ازای هر شیء در حافظه، یک reference count وجود داره. این شمارشگر نشون میده که چند بار به اون شیء ارجاع داده شده.
وقتی که یک شیء جدید ایجاد میشه، reference count اون به 1 تنظیم میشه. هر بار که یک اشاره به شیء ایجاد میشه، reference count اون یک واحد بیشتر میشه. وقتی که دیگه هیچ ارجاعی به شیء وجود نداشته باشه، reference count به 0 میرسه. در این حالت، شیء از حافظه آزاد میشه.
مشکل improper reference count update زمانی رخ میده که reference count برای یک شیء بدرستی بروزرسانی نشه و منجر به آسیب پذیریهایی مانند use-after-free و نشت حافظه و … میشه.
آیا زیرودی رو قبلا کشف کردید:
بله، این بخشی از کار من به عنوان محقق آسیب پذیریه.
بعنوان یک هکر اخلاقی و کسی که همیشه، درگیر آسیب پذیری های منحصر به فرد هستش، چی شما رو نگران میکنه:
به عنوان کسی که در امنیت تهاجمی کار میکنه، چیزی که نگرانم میکنه این بازی موش و گربه همیشگیه که محققان برای همگام شدن با آخرین اقدامات کاهشی مجبورن انجام بدن. این فقط برای پیدا کردن باگهای زیرودی نیست، بلکه برای توسعه ی اکسپلویت هم هست. کار شما با پیدا کردن یک باگ تموم نمیشه. توسعه اکسپلویت ممکنه هفته ها طول بکشه تا شما بتونید اقدامات کاهشی رو دور بزنید. نگران اینم که با سختتر شدن این شرایط، نتونم همگام بشم.
از دید امنیت دفاعی هم به این فکر میکنم که چطور میشه این اکسپلویتها رو در دنیای واقعی شناسایی کرد. به عنوان کسی که در زمینه امنیت تهاجمی کار میکنه، درک عمیقی از ردپایی که اکسپلویتها بجا میذارن، دارم. با توجه به افزایش روزافزون باگهای زیرودی که در دنیای واقعی کشف میشن، جالبه که حدس بزنم تکنولوژی شناسایی چقدر پیشرفت کرده.
قدم بعدی شما چیه:
خوشبختانه من در موقعیتی هستم که میتونم بصورت تمام وقت روی تحقیقاتم تمرکز کنم و به همین کار ادامه خواهم داد. برنامه های آزمایشی برای جذب کارآموز برای سال آینده و احتمالا انجام کارهای آموزشی (mentorship) داریم. افراد زیادی علاقمند به ورود به حوزه امنیت تهاجمی هستن، اما نمیدونن از کجا شروع کنن. در حال حاضر مسیر یادگیری مشخصی برای این حوزه وجود نداره، پس فکر میکنم افراد زیادی از راهنمایی و آموزش بهره مند خواهند شد.