Regulamentos de exportação que ameaçam prejudicar a investigação vulnerabilidade e explorar o desenvolvimento colocaram hackers na borda à frente do concurso anual Pwn2Own.
Operadores do hack-fest ter supostamente emitiu um alerta de e-mail para os pesquisadores a obter aconselhamento jurídico sobre como o Acordo de Wassenaar, um esforço de 42 nações que visa "promover a transparência e maior responsabilidade nas transferências de armas convencionais e bens de dupla utilização e tecnologias" , pode afetar seu desenvolvimento de exploits para o concurso.
Pwn2Own deste ano vai ser realizada na conferência CanSecWest segurança no Canadá 18 de março e 19. Como sempre, o evento pede hackers para desenvolver exploits e software pop em demonstrações ao vivo. Vulnerabilidades significativas seria comprado pelo organizador HP TippingPoint e entregues aos respectivos fornecedores para que os buracos suturado-up em uma tentativa de obter exploits 'fora das ruas ".
Este ano, no entanto, teria de ser participantes estão preocupados que participar do evento podem vê-los cair em desgraça com os controles do Arranjo à exportação de produtos de dupla utilização que têm aplicações militares e civis. Problemas potenciais do Arranjo, delineadas pelo Chaos Computer Club para audição conjunta Pública do Parlamento Europeu sobre os direitos e as tecnologias do Homem, são explicadas (PDF) como excessivamente ampla interpretação do acordo que poderia significar apenas falando sobre a pesquisa infosec estrangeiro aterra um hacker em apuros.
Preocupações persistiu apesar algumas garantias de que a intenção do acordo não era para pegar ferramentas legítimas de segurança, nem prejudicar a investigação.
Cada país pode implementar o convénio não vinculativo de forma diferente.
#EU cidadãos. Antes de participar de # Pwn2Own verificar com o seu advogado, se você precisa de uma auth exportação, ou se você precisa notificar o gov.
- Stefan Esser (@ i0n1c) 12 de fevereiro de 2015 Chaouki Bekrar, ex-co-fundador da exploram corretores VUPEN, e outros bods indústria relatou o alerta de e-mail através do Twitter.
"Exploits são itens de exportação controlada e os participantes devem trabalhar com seus assessores jurídicos sobre o correto manuseio", o e-mail a Zero Day Initiative, teria dito.
O Zero Day Initiative foi contatado para comentar o assunto.
O aviso parece ter solicitado alguma discussão sobre os pesquisadores possibilidade não podem participar e, portanto, deixar de zero buracos dias para apodrecer em algumas das plataformas de tecnologia mais populares do mundo.
Dito isto, os pesquisadores poderiam ter outros incentivos para ficar em casa ; o valor dos prêmios em dinheiro para os exploits encolheu em muitas categorias, enquanto cortando complexidade aumentou para alguns campos.
"Um ataque remoto bem-sucedida contra essas metas devem exigir nenhuma interação do usuário para além da acção necessária para procurar o conteúdo malicioso e deve ocorrer dentro de sessão do usuário sem reboots, ou-offs log [e]-ons log", os organizadores escreveu em uma pós .
O concurso vai premiar hacks com US $ 75.000 para falhas para 64 bit Google Chrome; 65.000 dólares para 64 bits Microsoft Internet Explorer, e US $ 60.000 para o Adobe Reader ou Flash rodando em que o navegador; US $ 30.000 para o Mozilla Firefox, e US $ 50.000 para o navegador Safari, da Apple de 64 bits em execução no OS X Yosemite.
Esses números caíram US $ 25.000 para Chrome, US $ 20.000 para o Firefox, e US $ 15.000 para Safari.
Além disso, os apostadores devem ficar em torno de populares reforçada Experience Toolkit Mitigação da Microsoft para marcar o dinheiro, mas não vai conseguir o grande prêmio de US $ 150.000 para a execução de código sistema de aterragem no Internet Explorer 11 rodando no Windows 8.1 com o kit de ferramentas.
Outros US $ 25,000 estaria disponível para hackers ganhando a execução de código do sistema enquanto Choc Fábrica escorresse US $ 10.000 para quebrar a versão 42 do Chrome.
Hackers em com uma chance de desembarque algum do dinheiro deve considerar alimentando alguns para as águias legais para garantir que eles não sejam armazenados em segurança do aeroporto.
Vulture Sul vai examinar mais de perto os desdobramentos do Convénio nas próximas semanas. ®
Nenhum comentário:
Postar um comentário