大手笔鼓励挖掘ICS和相关协议漏洞,Pwn2Own的“新业务”想传达什么?

自2007年以来,Pwn2Own便鼓励参赛者,以遍及使用的软件和具有未知马脚的设备作为挑战项目,挖掘尚未被发现的威胁以及0Day,而动辄上万美金的奖励,更使得这一活动成为收集安然行业的风向标式的存在。

与以往不合,今年的Pwn2Own从关注浏览器和把握系统扩展到了新领域,这个中就包括工业互联网安然。

[好文分享:www.11jj.com]


[本文来自:www.11jj.com]

大手笔扶持“新生意”

今年大会,Pwn2Own新增了关于发现ICS和相关和谈中缺陷的角逐项目,并且对该项目供给了跨越250000美元的赏格,可以称得上是大手笔了。

“和其他比赛一样,Pwn2Own试图经由揭示马脚并将研究事实供给给供给商来强化这些..”, Pwn2Own组织者、零日规划(ZDI)提议人Brian Gorenc在周一的帖子中说。

大手笔鼓励挖掘ICS和相关协议漏洞,Pwn2Own的“新业务”想传达什么?

宅客频道熟悉到,Pwn2Own Miami为以下五个ICS类其余马脚供给了各类奖励:

1、把握处事器解决方案,可在不合的可编程逻辑把握器(PLC)之间供给连结,把守和把握,该PLC把守输入和输出并为自动化系统做出基于逻辑的抉择。

2、OPC统一系统组织处事器实际上是“ ICS系统中的通用转换器和谈”,它将各类OPC Classic规范背后的功能集成到一个可扩展的框架中。

3、DNP3,在ICS系统的各个组件之间使用的一组通信和谈(北美电网中的首要和谈)。

4、人机界面(HMI)/把握员工作站,可将机械把握员连结到工业把握系统的各类硬件组件。

5、工程工作站软件,可以直接通信并可以设置PLC等首要把握设备,还可以设置基于角色的机制。

黑客将可以专注于特定设备来发现各类马脚,包括未经身份验证的溃逃或拒绝处事马脚,信息泄露故障和远程执行代码马脚。

不想挣大钱的黑客不是好选手,哪个项目给的赏金最多?

谜底是:远程执行代码马脚。

假设黑客在Iconics Genesis64(把握处事器)或Triangle Microworks SCADA数据网关(DNP3网关)等产品中找到这些马脚,将获得最高20000美元的奖金。

若是选手更推崇以少积多的打法,那么熟悉其他项目的赏金金额也是很有需要的:

大手笔鼓励挖掘ICS和相关协议漏洞,Pwn2Own的“新业务”想传达什么? 据零日规划倡议组织透露,本届Pwn2Own大会将在明年(1月21日至1月23日)在迈阿密举办的S4会议上举办。


Pwn2Own想传达什么?

Pwn2Own大手笔扶持“新生意”开展,并非只是人傻钱多的示意。 

在以前一年里,因为黑客冲击事件造成的停水、停电等造成大面积负面影响的实例不在少数。

2019年2月,罗克韦尔自动化的工业把握应用的电能计量设备Allen-Bradley PowerMonitor 1000被发现存在两个马脚。

一个跨站脚本马脚可以让远程冲击者将随意代码注入方针用户的Web浏览器以获取对受影响设备的接见权限;另一个身份验证绕过马脚,可以许可远程冲击者使用代理来启用常日对具有Web应用轨范治理权限的人员可用的功能。绕过身份验证后,冲击者可以更改用户设置和设备设置。

2019年8月,安然公司 McAfee 的研究人员率先发现楼宇综合治理系统 (BMS)存在马脚。

该马脚影响 enteliBUS Manager(个用于治理不合 I / O 开关的把握系统),这些不合的 I / O 开关常日是连结到传感器、报警器、电机、锁、阀门和其他工业设备等物体。

卡巴斯基(Kaspersky)比来的一份申报浮现,仅在2018年上半年,至少有41.2%的工业把握系统受到恶意软件的冲击,这进一步证实此类景遇的展现并非小概率事件。由此来看,今年Pwn2Own对ICS的新关注也就无独有偶。

Tenable计策规划高级主管Eitan Goldstein称:“跟着IT和OT(运营手艺)领域的融合,关键底细行动面临的威胁只会增加,将ICS扩展到黑客比赛是一项值得的动作。它浮现出人们越来越多的意识到ICS存在的马脚,以及将成熟的安然实践扩展到OT情形中的首要性日益增加。”

参考链接:

threatpost

https://threatpost.com/pwn2own-expands-industrial-control-systems/149594/

蓝字检察更多超卓内容


索求篇

  暗网【上】|  暗网【下

薅羊毛 | 黑客火器库威胁猎人

剁手.. 0Day冲击 | 暗黑女主播

踩雷 |嗑药坐牢重归正途 | 内鬼

脑内植入


实情篇

拼多多将追回“薅羊毛”订单,包括已充话费和Q币订单

75条笑死人的知乎神复原,用60行代码就爬完了

不剁手也吃土?或许是挖矿木马掏空你的钱包

游戏黑产:我还在空中跳伞,就被人用拳头远程打死

都8012年了,英国卫生部门居然还在为“擦屁股”

与病毒名称相似,“捏脸”游戏ZEPETO涉嫌窃听?

扎心!Tumblr推AI鉴黄规划夺老司机“珍爱”

我报了个税,隐私就被扒光了?

黑客圈套:Ins网红落难记


人物篇


专访:“蹲坑神器”与它背后汉子们不得不说的故事

磨刀人王伟:我前期砸了两个亿做这套方案

白帽汇的赵武摘掉了他的“帽子”|专访

数字联盟刘晶晶:四年只做一个产品

长亭科技陈宇森:我打破的四个质疑

薛锋:我眼中的威胁情报三年之变

“无锁不开”女黑客——skye

知道创宇赵伟:怼死“空气币”

李均:我眼中的黑客精神

风宁:自由追风者

更多超卓正在清算中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公家号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图..并识别关注

大手笔鼓励挖掘ICS和相关协议漏洞,Pwn2Own的“新业务”想传达什么?

自媒体 微信号:11jj 扫描二维码关注公众号
爱八卦,爱爆料。

小编推荐

  1. 1

    内江公需科目继续教育登录入口官网(内江市公需科目考试网)

    大家好,小美今天来为大家解答内江公需科目继续教育登录入口官网以下问题,内江市公需科目考试网很多人还不知道,现在让我们一起来看看吧!

  2. 2

    第四门八门遁甲(八门遁甲第四门叫什么)

    大家好,小乐今天来为大家解答第四门八门遁甲以下问题,八门遁甲第四门叫什么很多人还不知道,现在让我们一起来看看吧!1、八门遁甲中的第四

  3. 3

    毫无底线,永久封禁!8人全部获刑

    为了流量,毫无底线编造“怙恃双亡”人设骗取网友同情和爱心卖的居然照样假货……近日拥有近400万粉丝的主播“凉山孟阳”及其团伙等8人均获刑

  4. 4

    左边绿右边红左右相遇起凉风打一字(左边绿,右边红相遇起凉风,(打一字))

    大家好,小丽今天来为大家解答左边绿右边红左右相遇起凉风打一字以下问题,左边绿,右边红相遇起凉风,(打一字)很多人还不知道,现在让我们一起

  5. 5

    提高语文成绩的办法有哪些(提高语文成绩具体措施)

    大家好,小美今天来为大家解答提高语文成绩的办法有哪些以下问题,提高语文成绩具体措施很多人还不知道,现在让我们一起来看看吧!1、快速提

  6. 6

    葡语还在让你心累 ?

  7. 7

    女生网名可爱超萌清新2字(网名2021最新版的女生可爱2字)

    大家好,小豪今天来为大家解答女生网名可爱超萌清新2字以下问题,网名2021最新版的女生可爱2字很多人还不知道,现在让我们一起来看看吧!1、漠

  8. 8

    常识积累:刑法之自首

    小伙伴们,下昼好今天给人人带来的常识相关考点是【刑法之自首】供人人储蓄进修一、概念。  自首是指犯罪后主动投案,向公安、司法机关或

Copyright 2024.依依自媒体,让大家了解更多图文资讯!