در سالهای اخیر مسابقات Pwn2Own با تمرکز بر مشتری مداری در دفتر ترندمیکرو در تورنتو برگزار میشد، اما با توجه به اینکه این دفتر تعطیل شده، نیاز به مکان جدید هستش.
این نقل مکان، برای این رویداد چیز جدیدی نیستش و این مسابقات قبلا در آمستردام، توکیو و آستین هم برگزار شدن. بنابراین قراره مسابقات امسال در کورک ایرلند برگزار بشه. فعلا جزییات زیادی از جاهایی که قراره مسابقات رو در اون برگزار کنن منتشر نکردن، اما اعلام کردن که اهدای جوایز در زندان تاریخی شهر کورک برگزار میشه.
علاوه بر مکان جدید، رویداد امسال یک حامی مالی جدید هم داره. در رویداد امسال قراره کمپانی متا در دسته بندی پیامرسانها شرکت کنه. این کمپانی قراره واتس آپ رو به بدست هکرها بسپره و برای اکسپلویتهای Zero-Click و One-Click پرداختی داره. مثلا برای زیروکلیک، 300 هزار دلار جایزه میده.
علاوه بر متا، Synology و QNAP هم جزء حامیان مالی این رویداد هستن.
بخش هیجانانگیز رویداد در ایرلند فقط به دسته بندی برنامه های مسنجر محدود نمیشه. در رویداد امسال برای اولین بار شاهد حضور دستگاههای مجهز به هوش مصنوعی هم خواهیم بود.
هر دو گوشی سامسونگ و گوگل به ترتیب از هوش مصنوعی Galaxy و Google AI استفاده میکنن. همچنین چندین دستگاه Synology از هوش مصنوعی برای کارهایی مانند تشخیص افراد و وسایل نقلیه در دوربینها و آلبومهای عکس مبتنی بر هوش مصنوعی در دستگاههای NAS اشون استفاده میکنن. دوربین Ubiquiti هم برای دقت و برد بالاتر در شناسایی از هوش مصنوعی استفاده میکنه.
برای اکسپلویت قابلیتهای هوش مصنوعی، جایزه ویژهای در نظر گرفته نشده، اما این موضوع که هوش مصنوعی به اکسپلویت کردن کمک میکنه یا مانع اون میشه، بسیار جالب خواهد بود.
امسال دسته بندی محبوب سال گذشته، یعنی “SOHO Smashup” هم هستش. این بخش، شرکت کنندگان رو با چالش اکسپلویت رابط خارجی یک روتر ، کنترل روتر و سپس نفوذ به دستگاه دیگه ای که به شبکه متصل هستش، محک میزنه. در رویداد سال گذشته تورنتو، چندین تیم با موفقیتهایی در این بخش، برنده شدن. دیدن محققین در حال عبور از سطوح مختلف حمله برای رسیدن به هدف نهایی، همیشه شگفت انگیز هستش. همچنین دوربینهای باسیم و بیسیم رو تحت دسته بندی نظارتی دوباره به این رویداد آوردن.
سال گذشته، در این رویداد برای 58 آسیبپذیری زیرودی مبلغ ۱،۰۳۸،۵۰۰ دلارپرداختی داشتن.
رویداد امسال قراره ۲۲ تا ۲۵ اکتبر ۲۰۲۴ | 1 تا 4 آبان برگزار بشه. طبق روال همیشگی روز اول مسابقه، یک قرعه کشی انجام میدن تا برنامه ی مسابقات مشخص بشه.
ثبتنام در تاریخ ۱۷ اکتبر ۲۰۲۴ | 26 مهر، ساعت ۵ عصر بوقت ایرلند تموم میشه. بعد از این تاریخ هیچ ثبت نامی رو قبول نمیکنن. برای سوال و شرکت در این رویداد، میتونید از ایمیل pwn2own@trendmicro.com استفاده کنید.
همچنین برای شرکت در این رویداد یسری قوانین وجود داره که میتونید قبل از شرکت در این رویداد از اینجا بهشون دسترسی داشته باشید. همچنین یسری انتظاراتی رو هم از شرکت کنندگان دارن که اونا رو هم میتونید از اینجا مطالعه کنید.
بصورت کلی اهداف مسابقات امسال در 7 دسته بندی زیر برگزار میشه:
– Mobile Phones
– Messenger Apps
– The SOHO Smashup
– Surveilance Systems
– Home Automation Hubs
– Printers
– Smart Speakers
– NAS Devices
دسته بندی گوشی های تلفن:
این دسته بندی اولین بار با تمرکز بر گوشی های همراه در مسابقات آمستردام با عنوان Mobile Pwn2Own معرفی شد. این گوشی های همراه با آخرین نسخه ی سیستم عامل و با همه ی بروزرسانی های موجود اجرا میشن و شرکت کنندگان باید اونارو هک کنن.
در مسابقات امسال شیائومی حضور نداره. دلیلش اینه که در رویداد سال گذشته تلاش هایی برای جلوگیری از اکسپلویت شدن انجام دادن. این کارشون منصفانه نبوده، بنابراین امسال عذرشون رو خواستن. اگه در این خصوص جزییات بیشتری میخوایید بدونید میتونید این ارائه ی Ken Gannon و Ilyes Beghdadi در DEFCON امسال رو دنبال کنید.
این دسته بندی اینجوریه که شرکت کننده باید از طریق مشاهده ی یک محتوا در مرورگر پیش فرض دستگاه یا ارتباط با پروتکل های برد کوتاه: NFC ، بلوتوث و WiFi بتونه دستگاه رو هک کنه.
جوایز این دسته بندی :
برای گوشی های گوگل و آیفون، اگه اکسپلویتتون با امتیاز کرنل اجرا بشه، 50 هزار دلار و 5 امتیاز Master of Pwn اضافی دریافت میکنید. یعنی در مجموع 300 هزار دلار جایزه نقدی و 30 امتیاز Master of Pwn.
دسته بندی پیامرسانها:
همونطور که بالا گفته شد، امسال کمپانی متا با پیامرسان واتس آپ در این رویداد شرکت میکنه. آسیب پذیری هایی که در این دسته بندی گزارش میشه باید از طریق خود پیامرسان واتس آپ قابل دسترس باشه و وابسته به برنامه ی دیگه نباشه. موارد گزارش شده در خصوص واتس آپ روی گوشی Google Pixel 8 تست میشن.
جوایز و اهداف این دسته بندی:
دسته بندی SOHO Smashup :
با توجه به افزایش دورکاری، کم کم شرکتها متوجه شدن که محیط شرکتشون به خانه های کارمنداشون منتقل شده. این موضوع مورد توجه بازیگران تهدید هم قرار گرفت. اونا با هک روترهای خانگی و سایر تجهیزات، خودشون رو به محیط شبکه داخلی شرکتها میرسونن. برای همین دسته بندی SOHO Smashup به رویداد Pwn2Own اضافه شده.
در این دسته بندی شرکتکنندگان برای شروع باید پورت WAN روتر انتخاب شده رو هک کنن. بعدش، باید به یکی از دستگاههای دیگه نفوذ کنن. شرکتکننده در فرآیند ثبتنام میتونه هر ترکیبی از روتر، هاب اتوماسیون خانگی، اسپیکر هوشمند، پرینتر یا دستگاه ذخیرهسازی متصل به شبکه رو انتخاب کنه.
برای امسال اعلام کردن که اهداف سختی رو در نظر گرفتن و اگه شرکت کننده ای بتونه هر دو دستگاه رو ظرف ۳۰ دقیقه هک کنه، 100 هزار دلار جایزه نقدی و ۱۰ امتیاز Master of Pwn دریافت میکنه.
اهداف امسال برای هر دو مرحله:
دسته بندی سیستمهای نظارتی:
این دسته بندی سال پیش برای اولین بار معرفی شد و در اون شرکت کنندگان کارهای جالبی رو انجام دادن از جمله کنترل دوربین فقط با نشون دادن کد QR. شرکت کنندگان در این بخش باید حملاتشون رو علیه سرویس های شبکه در معرض دید یا ویژگیهای که از طریق لپ تاپ متصل به شبکه شرکت کننده در معرض دید هستن (مجاور شبکه) انجام بدن.
هاب های اتوماسیون خانگی:
بسیاری از دوربینها و سایر دستگاه های هوشمند به یک هاب مرکزی متصل هستن. از چراغها گرفته تا قفلها و ترموستاتها، دوربینها و موارد دیگه، همه از طریق یک هاب اتوماسیون خانگی قابل دسترس هستن. البته، این بدان معناست که یک بازیگر تهدید هم بطور بالقوه میتونه به اونا دسترسی داشته باشه. بنابراین این تجهیزات هم قراره در این رویداد محک زده بشن.
امسال AeoTec Smart Home Hub هم به اهداف این دسته بندی اضافه شده.
اهداف و جوایز این دسته بندی:
دسته بندی پرینترها:
پرینترها یکی از تجهیزات پرکاربرد در شرکتها و سازمانها و منازل هستن. این تجهیزات به یکی از سطوح حمله توسط بازیگران تهدید تبدیل شدن که اغلب نادیده گرفته میشن. در مسابقات Pwn2own اغلب شاهد هک های خلاقه ای در این دسته بندی بودیم. مسابقات امسال هم این دسته بندی رو داره.
جوایز و اهداف این دسته بندی:
دسته بندی اسپیکرهای هوشمند:
اسپیکرهای هوشمند، نقش مهمی در تعامالات روزانه ما با موسیقی و اخبار و … ایفا میکنه. همچنین اونا میتونن بعنوان یک سطح حمله در اختیار بازیگران تهدید قرار بگیرن.
جوایز و اهداف این دسته بندی:
دسته بندی تجهیزات ذخیره سازی شبکه ای (NAS):
امسال در این دسته بندی تجهیزات کمپانی های QNAP و TrueNAS و Synology حضور دارن. برای Synology DiskStation چندین اسکوپ تعریف کردن از جمله:
– MailPlus
– Drive
– Virtual Machine Manager
– Snapshot Replication
– Surveillance Station
– Photos
شرکت کنندگان باید به اهدافی که از طریق لپ تاپ متصل به شبکه اشون قابل مشاهده هستش (مجاور شبکه)، حمله کنن.
اهداف و جوایز این دسته بندی :
Master of Pwn :
در مسابقات Pwn2Own شرکت کننده ای که بالاترین امتیاز رو بدست بیاره بعنوان Master of Pwn شناخته میشه، یعنی برنده کلی رقابت. بدست آوردن این عنوان، به معنی دریافت یک جام باحال، یک پوشیدنی خاص (کت) و امتیاز اضافی 65 هزار پاداش ZDI (که به معنی دستیابی به وضعیت پلاتینیوم در سال ۲۰۲۵ است) هستش.
برای کسانی که با نحوهی کار این بخش آشنا نیستن، برای هر حملهی موفق، امتیازاتی جمعآوری میشه. همانند مسابقات قبلی، برای انصراف از موردی که براش ثبتنام کردن، جریمه هایی در نظر گرفته شده. اگه شرکت کننده در طول تلاش خودش، امتیاز اضافهی یک بخش جانبی رو کنار بذاره، امتیاز Master of Pwn مربوط به اون بخش جانبی، از مجموع امتیاز نهاییش کسر میشه. مثلا، شخصی برای بخش آیفون ۱۵ اپل با امتیاز اضافهی کرنل ثبتنام میکنه. در حین تلاش، شرکتکننده امتیاز اضافهی هسته رو کنار میذاره اما میتونه به هدف هم نفوذ کنه. بنابراین مجموع امتیاز نهایی برای این شرکت کننده، ۲۰ امتیاز Master of Pwn خواهد بود.