Изображение: Кубок Тяньфу
Лучшие хакеры Китая собрались в эти выходные в городе Чэнду, чтобы принять участие в Кубке Тяньфу, главном соревновании хакеров страны.
В течение двух дней — — 16 и 17 ноября — китайские исследователи в области безопасности будут тестировать нулевые дни в отношении некоторых из самых популярных приложений в мире.
Цель состоит в том, чтобы эксплуатировать и захватить приложение, используя ранее неизвестные уязвимости. Если атаки успешны, исследователи получают очки за общую классификацию, денежные призы, а также за репутацию, которая приходит с победой в авторитетном конкурсе хакеров.
Правила Кубка Тяньфу идентичны тем, которые мы видим на Pwn2Own, крупнейшем в мире хакерский конкурс. Эти два события более связаны, чем большинство людей знают.
До 2018 года китайские исследователи безопасности доминировали в Pwn2Own, и разные команды побеждали в соревнованиях годами подряд. Теперь все эти таланты идут друг против друга.
Весной 2018 года китайское правительство запретило исследователям в области безопасности участвовать в хакерских конкурсах, организованных за рубежом, таких как Pwn2Own. TianfuCup был создан несколько месяцев спустя, как ответ на запрет, и как способ для местных исследователей сохранять свои навыки острыми. Первое издание было проведено осенью 2018 года с большим успехом, и исследователи успешно взламывали приложения, такие как Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox и др.
Это буквально как сотня китайских исследователей в области безопасности, которые тестируют свои 0 дней на соревнованиях против современных программных целей. Вероятно, это самая плотная коллекция 0 дней на кв. М в мире, и я видел только один органический твит об этом.
Infosec Twitter, wtf?!? https://t.co/781cepNPy6
— thaddeus e. grugq (@thegrugq) 15 ноября 2019 г.
Жертвы первого дня: Chrome, Edge, Safari, Office 365
Первый день соревнования был самым насыщенным, в субботу было запланировано 32 хакерских сеанса. Из них 13 были успешными, семь хакерских сессий потерпели неудачу, и на 12 сессиях исследователи безопасности по разным причинам отказались от попыток эксплуатации.
Из успешных сессий организаторы Кубка Тяньфу сообщили об успешных взломах:
- (3 успешных эксплойта) Microsoft Edge (старая версия, основанная на движке EdgeHTML, а не новая версия Chromium ) [tweet]
- (2) Хром-хаки [tweet]
- (1) Safari [tweet]
- (1) Офис 365 [tweet, tweet]
- ] (2) Adobe PDF Reader [tweet]
- (3) Маршрутизатор D-Link DIR-878 [tweet]
- (1) qemu-kvm + Ubuntu [tweet, tweet]
После первого дня лидирует Team 360Vulcan, бывший победитель Pwn2Own.
Я нисколько не удивлен, увидев, что 360Vulcan имеет эксплойт в каждой категории. Это большая команда с большим количеством опытных людей. Кроме того, они всегда доминируют по количеству в личных соревнованиях, они идут за всем. (Думаю, что ошибки роутера не дают достаточно денег, чтобы привлечь 360) https://t.co/bvn41vIK16
— thaddeus e. grugq (@thegrugq) 16 ноября 2019 года
В прошлом многие поставщики программного обеспечения начали посещать хакерские соревнования, где они отправляли своих представителей для сбора отчетов об уязвимостях через несколько минут после окончания сеанса взлома, причем некоторые поставщики отправляли исправления в течение нескольких часов.
На Кубке Тяньфу было мало продавцов; однако, поскольку многие первые успешные эксплойты были записаны в первых двух изданиях конкурса, многие компании, скорее всего, начнут рассматривать вопрос об отправке представителя в следующем году. В Google были сотрудники службы безопасности Chrome. Представитель Microsoft подтвердил нашу электронную почту, но не смог ответить до публикации этой статьи.
Представитель конкурса заявил сегодня ZDNet, что организаторы планируют сообщать обо всех обнаруженных сегодня ошибках всем соответствующим поставщикам в конце конкурса.
День 2: 200 000 долларов на побег VMWare
Из 16 сессий, запланированных на второй день соревнования, только половина прошла, как и планировалось, с исследователями, отказавшимися от восьми. Из успешной половины семь хакерских сессий были успешными, и только одна не смогла достичь своей цели. Семь успешных эксплойтов были нацелены:
Команда 360Vulcan отказалась от попытки использовать iOS в своей долгожданной сессии, которая также была запланирована последней, чтобы завершить турнир.
Команда 360Vulcan, однако, независимо от того, выиграл конкурс, заработав 382 500 долларов за усилия по взлому Microsoft Edge, Microsoft Office 365, qemu + Ubuntu, Adobe PDF Reader и VMWare Workstation.
Большую роль в победе сыграли VMWare и qemu +. Эксплойты Ubuntu, которые принесли $ 200 000 и $ 80 000 соответственно.
Изображение: Кубок Тяньфу
