رویداد Pwn2Own 2020 که هر ساله به صورت فیزیکی برگزار می شد، امسال به دلیل گسترش کرونا ویروس به صورت مجازی برگزار شد و در دو روی ابتدایی آن سه سیستم عامل ویندوز 10، لینوکس و MacOS مورد کالبدشکافی هکر ها قرار گرفتند. هکرها پس از تلاش های بسیار دقیق خود موفق به کشف چند باگ و دسترسی کامل به فایل های سیستمی آنها شدند.
به عبارت بهتر باید گفت که هکرها در اولین روز از رویداد Pwn2Own 2020 موفق به هک کردن سه سیستم عامل دسکتاپی محبوب یعنی Windwos 10 ، Linux و MacOS شدند تا بار دیگر امنیت پایین آنها را یادآور شوند. با وجود ارائه به روز رسانی های امنیتی توسط توسعه دهندگان سه سیستم عامل دسکتاپی محبوب، اما همچنان راه های نفوذ به طور کامل محدود نشده اند.
هکرها در اولین روز از رویداد Pwn2Own 2020 به کشف 9 باگ در سه دسته بندی مختلف نائل آمدند و موارد امنیتی بازدارنده در سیستم عامل های دسکتاپی محبوب را به تمسخر گرفتند. البته آنها به جز تمسخر سیستم عامل، جایزه 180 هزار دلاری در نظر گرفته شده برای یافتن باگ های نرم افزاری را هم به دست آوردند.
رویداد Pwn2Own 2020 که هر ساله در ونکوور کانادا برگزار می شد، این بار به دلیل شیوع گسترده کرونا ویروس یا همان COVID-19 به صورت مجازی دایر شد. هکرها پیش از آغاز این رویداد، روش های نفوذ و باگ های نرم افزاری را کشف کرده بودند و در اولین روز از این رویداد مجازی، فقط به نمایش روش های نفوذ و شرح باگ های موجود پرداختند.
سیستم عامل دسکتاپ اپل با نام MacOS از طریق آسیب پذیری موجود در مرورگر سافاری و با استفاده از مزیت افزایش هسته مرکزی آن موفق به هک کردن شد و جایزه این بخش به مبلغ 70 هزار دلار به یک آزمایشگاه فناوری در حوزه ایمنی و نرم افزار از کشور گرجستان تعلق گرفت. آنها موفق شدند 6 باگ در این سیستم عامل و مرورگر سافاری پیدا کنند و غیر فعال کردن کامل نرم افزار امنیتی سیستم عامل MacOS را برای دسترسی به هسته مرکزی پیاده سازی کردند.
در بخش دوم از اولین روز رویداد آنلاین Pwn2Own 2020، یک هکر کهنه کار و با سابقه به نام Flourescence از مزیت UAF (مخفف Use-After-Free) برای دسترسی به هسته مرکزی سیستم عامل ویندوز 10 استفاده کرده و جایزه 40 هزار دلاری این بخش را به خود اختصاص داد.
سومین سیستم عاملی که در رویداد Pwn2Own 2020 مورد نفوذ قرار گرفت، سیستم عامل به نسبت ایمن لینوکس بود. تیم RedRocket CTF از یک امتیاز محلی برای دسترسی به هسته مرکزی Linux استفاده کرده و به مهم ترین کدهای هسته آن دست یافتند. آنها به دلیل نمایش باگ نرم افزاری سیستم عامل لینوکس موفق به کسب جایزه 30 هزار دلاری شدند.
در انتهای روز اول از رویداد Pwn2Own 2020 هکر کهنه کار به نام Flourescence که به نظر می رسد مهارت خاصی در نفوذ به سیستم عامل ویندوز 10 دارد، با استفاده از یک باگ UAF دیگر موفق به ایجاد دسترسی از طریق حساب کاربری استاندارد شد که با روش پیشین وی تفاوت داشت. وی به همین دلیل موفق به کسب جایزه 40 هزار دلاری شد و به این ترتیب سهم خود از جوایز روز اول را به 80 هزار دلار افزایش داد.
در روز دو از رویداد Pwn2Own 2020 هکرهای مختلف تمام هوش و مهارت خود را در هک کردن نرم افزار های مختلف از جمله VirtualBox و Adobe Reader روی سیستم عامل ویندوز و یک ایستگاه کاری VMWare به رخ کشیدند. هکرها با نشان دادن باگ نرم افزاری و اعمال نفوذ به نرم افزار VirtualBox مبلغی به میزان 40 هزار دلار را کسب کرده و 50 هزار دلار نیز بابت نفوذ به Adobe Reader دریافت کردند.
اما داستان هک کردن ایستگاه کاری VMWare اندکی متفاوت بوده و روش نفوذ به آن در مرحله اول رد شد، ولی پس از بررسی های دقیق تر، این روش به تایید رسید. کلیه شرکت کنندگان در رویداد Pwn2Own 2020 پس از کشف باگ های امنیتی در سه سیستم عامل ویندوز 10، لینوکس و MacOS و همچنین نرم افزار های ذکر شده، اطلاعات مورد نیاز را به شرکت های سازنده و توسعه دهنده آنها ارائه دادند. همچنین یک مهلت 90 روزه به شرکت های سازنده و توسعه دهنده سیستم عامل ها و نرم افزار های ذکر شده اعطا گردید تا در به روز رسانی بعدی، روش های نفوذ کشف شده را مسدود کنند.
نکته امیدوار کننده در رویداد Pwn2Own 2020 برای کاربران دو سیستم عامل موبایلی iOS و Android است. هکرها پس از تلاش های متعدد موفق به کشف باگ امنیتی برای نفوذ به آنها نشدند، اما به هر حال همه ما می دانیم که هیچ سیستم عامل و نرم افزاری به صورت 100 درصد ایمن نیستند و احتمال یافتن یک راه نفوذ موثر در آینده وجود دارد.