Łącznie ponad 900 000 dolarów nagród znajduje się w zupełnie nowej kategorii Pwn2Own. Po 13 latach istnienia tego konkursu na łamanie przeróżnych urządzeń oraz programów pojawia się Tesla Model 3. Uczestnicy wydarzenia będą mieli za zadanie wskazać oraz wykorzystać nieznane podatności - wszystko po to, aby uczynić nowoczesne rozwiązania automotive bezpieczniejszymi.
Hakerzy mogą spróbować swoich sił w znajdowaniu i eksploatowaniu luk w konkretnych systemach pojazdu Tesla Model 3. W trakcie Pwn2Own najbardziej opłaca się znajdować takie podatności, które dotyczą wykonania kodu m. in. w Autopilocie, VCSEC oraz tzw. "gatewayu", który łączy napęd, sensory w nadwoziu analizując wszelkie dane zarejestrowane przez czujniki. To właśnie te trzy obszary są najistotniejsze dla prawidłowego działania samochodu - bezpośrednio odpowiadają nie tylko za bezpieczeństwo pojazdu samego w sobie, ale również za zabezpieczenie kierującego oraz pasażerów. Wyobraźcie sobie atak wycelowany w Autopilota - mogłoby być naprawdę "ciekawie", prawda? Pwn2Own za wykazanie takich podatności płaci najwięcej - do 250 000 dolarów.
Zobacz również: Tesla zarejestrowała spółkę w Polsce - będzie serwis i salon sprzedaży?
W przypadku ataku DoS na Autopilota nagroda może wynosić do 50 000 dolarów. W przypadku, gdy hakerowi uda się zaatakować system dostępowy do auta (Phone as Key) i np. uruchomić silnik, wykonać kod lub otworzyć pojazd bez jakiejkolwiek autoryzacji - nagroda będzie wynosić 100 000 dolarów.
Samochody Tesla to jednak również system infotainment: uczestnicy Pwn2Own, którym uda się wyjść poza sandbox zabezpieczający system albo podnieść uprawnienia do roota / uzyskać dostęp do jądra systemu operacyjnego otrzymają 85 000 dolarów. Każdy inny atak tyczący się systemu rozrywkowo-informacyjnego będzie nagradzany skromniej: 35 000 dolarów. W przypadku podatności dotyczących WiFi / Bluetooth, Pwn2Own zapłaci uczestnikom 60 000 dolarów. Co więcej, jeżeli podniesione uprawnienia utrzymają się po restarcie systemu - dopłacone zostanie dodatkowe 50 000 dolarów.
Warto przeczytać: Tesla w ogniu - model S stanął w płomieniach
Programy bug bounty lub konkursy oscylujące wokół tej tematyki są niezwykle istotne - przede wszystkim mają one za zadanie wyłuskanie tych podatności, które nie są jeszcze znane światu. Natomiast eksperci, którzy je znajdą otrzymają "pewniejszą" metodę zarobienia na nich niż konstruowanie wyrafinowanego ataku. Dla firm, które organizują bug-bounty lub uczestniczą w tego typu konkursach to świetna możliwość dowiedzenia się o bezpieczeństwie własnego rozwiązania jeszcze przed tym jak komukolwiek uda się znaleźć w nich podatności przy okazji złych intencji.
A zatem - programy bug-bounty są wyrazem odpowiedzialności za tworzone przez siebie rozwiązania. Do grona firm, które oferują uczestnictwo w takich programach znajdują się m. in. Google i Microsoft, które zapewniają wynagrodzenia dla ekspertów, którzy będą w stanie wskazać konkretne luki w ich oprogramowaniu. Takie podejście jest znacznie rozsądniejsze niż gaszenie pożarów związanych z atakami wykorzystującymi konkretne luki lub nawet straty wynikające z niedoróbek tworzonych rozwiązań. Natomiast ci, którzy mają kompetencje ku temu, aby takie ataki wykonywać mają możliwość wykazania się i jednocześnie - zarobienia naprawdę dobrych pieniędzy.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
