per Zero-Day
| 17 novembre 2019 — 00:24 GMT (00:24 GMT)
| Argomento: Sicurezza
Immagine: Tianfu Coppa
Cina gli hacker si sono riuniti questo fine settimana nella città di Chengdu per competere in Tianfu Cup, la competizione di hacking.
Nel corso della due giorni, il 16 e 17 novembre — sicurezza Cinese, i ricercatori di prova zero-day contro alcune delle applicazioni più popolari.
L’obiettivo è quello di sfruttare e prendere il controllo di un’applicazione che utilizza mai-prima-visto vulnerabilità. Se gli attacchi di successo, i ricercatori guadagnare punti verso una classificazione generale, premi in denaro, ma anche la reputazione che viene fornito con la vincita di un rispettabile competizione di hacking.
Il Tianfu Cup regole sono identiche a quelle che vediamo al Pwn2Own, il più grande del mondo hacking contest. I due eventi sono più legati di quanto la maggior parte delle persone sanno.
Prima del 2018, Cinese, i ricercatori di sicurezza dominato Pwn2Own, con squadre diverse vincendo il concorso anni di fila. Ora, tutto quello che il talento è di andare l’uno contro l’altro.
Nella primavera del 2018, il governo Cinese in prescrizione i ricercatori di sicurezza di partecipanti hacking contest organizzati all’estero, come il Pwn2Own. Il TianfuCup è stato impostato un paio di mesi più tardi, come una risposta al bando, e come un modo per i ricercatori locali, per mantenere le loro abilità taglienti. La prima edizione si è tenuta nell’autunno del 2018 al grande successo, con i ricercatori con successo hacking app di Bordo, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox, e di più.
Questo è letteralmente un centinaio di Cinesi, i ricercatori di sicurezza che verifica la loro 0days in competizione contro il software moderni obiettivi. È probabilmente la più densa raccolta di 0days al mq nel mondo, e ho visto solo uno organico tweet su di esso.
Infosec Twitter, wtf?!? https://t.co/781cepNPy6
— taddeo e. grugq (@thegrugq) 15 novembre 2019
1 ° giorno vittime: Cromo, Bordo, Safari, Office 365
Il concorso il primo giorno è stato il suo più trafficato, con 32 sessioni di hacking in programma sabato. Di questi, 13 sono stati un successo, sette sessioni di hacking non è riuscito, e in 12 sessioni di ricercatori di sicurezza abbandonato sfruttamento tentativi, per vari motivi.
Il successo sessioni, Tianfu organizzatori della Coppa del segnalate di successo hack di:
(3 successo exploit) Microsoft Bordo (la vecchia versione basata sul EdgeHTML motore, non la nuova versione chrome) [tweet](2) Chrome hack [tweet](1) Safari [tweet](1) Office 365 [tweet, tweet](2) Adobe PDF Reader [tweet](3) D-Link DIR-878 router [tweet](1) qemu-kvm + Ubuntu [tweet, tweet]
Dopo la prima giornata, la Squadra 360Vulcan, un ex Pwn2Own vincitore, è in testa.
Io non sono affatto sorpreso di vedere 360Vulcan ha un exploit in ogni categoria. Loro sono una grande squadra con un sacco di persone qualificate. Inoltre, sempre a dominare per quantità pwn concorsi, vanno dopo tutto. (Il router bug non pagare abbastanza, credo, per attirare 360) https://t.co/bvn41vIK16
— taddeo e. grugq (@thegrugq) 16 novembre 2019
In passato, molti fornitori di software hanno iniziato a frequentare l’hacking concorsi, dove inviare rappresentanti a prendere vulnerabilità rapporti minuti dopo un furto termina la sessione — con alcuni fornitori di spedizione patch entro poche ore.
Non c’erano venditori Tianfu Cup; tuttavia, molti di alto profilo successo exploit fase di registrazione al concorso delle prime due edizioni, molte aziende avranno più probabilità di iniziare a considerare l’invio di un rappresentante del prossimo anno.
Un concorso portavoce ha detto a ZDNet oggi che gli organizzatori hanno intenzione di segnalare tutti i bug scoperto oggi per tutti i fornitori al concorso finale.
Giorno 2: TBD
Al momento della scrittura, il giorno due del Tianfu Coppa non è ancora iniziata. Provvederemo ad aggiornare questo pezzo con il Day 2 risultati, quando disponibili.
Sedici sfruttamento tentativi sono stati annunciati per il 2 ° Giorno, come Ubuntu, Windows Server, VMWare Workstation, iPhone e 11 [vedi immagine in cima all’articolo].
Sicurezza
BlueKeep sfruttare per ottenere una correzione per il suo problema BSOD
Principali ASP.NET fornitore di hosting infettato da ransomware
Apple Mail su macOS foglie di parti di e-mail cifrate in chiaro
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Apple
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 17 novembre 2019 — 00:24 GMT (00:24 GMT)
| Argomento: Sicurezza