Начиная с 2020 года, в конкурсе этичных хакеров Pwn2Own появится отдельная номинация для компонентов промышленных систем управления. На саммите в Майами, который состоится в январе, специалисты попробуют взломать восемь продуктов, представленных в пяти категориях. Призовой фонд этой части состязания составит более $250 тыс.

Какие системы будут взламывать на Pwn2Own 2020

В номинации «Серверы управления» участники должны будут со своего ноутбука атаковать доступные в тестовой сети SCADA-платформы Iconics Genesis64 и Inductive Automation Ignition. Организаторы предусмотрели несколько уровней возможной результативности хакеров. Так, принудительное прекращение работы системы или перевод ее в состояние отказа в обслуживании оценены в $5 тыс., а эксплойт для несанкционированного раскрытия информации принесет специалисту в два раза больше. Максимальный бонус в размере $20 тыс. получит этичный хакер, который добьется удаленного выполнения кода в рамках любой из программ.

Помимо этого, участники конкурса смогут попытаться скомпрометировать приложение SCADA Data Gateway компании Triangle MicroWorks, представленное в категории «DNP3-шлюзы». За взлом коммуникационной программы этичные хакеры могут получить от $5 до $20 тыс., а также до 20 баллов Master of Pwn, учитываемых при определении абсолютного победителя.

Для серверов, использующих открытую спецификацию Open Platform Communications (OPC), на Pwn2Own 2020 будет предусмотрена отдельная категория. Участникам предложат вызвать DoS, добиться раскрытия конфиденциальной информации или дистанционно выполнить свой код на платформах Unified Automation ANSI C Demo Server и OPC Foundation OPC UA .NET Standard.

В категории «Инженерные рабочие станции» представлен лишь один продукт. За удаленный запуск стороннего скрипта в среде разработки Rockwell Automation Studio 5000 ИБ-специалисты смогут получить $20 тыс.

Этичные хакеры проверят надежность систем Schneider Electric и Rockwell Automation

Для номинации «Человеко-машинный интерфейс» организаторы приготовили противостояние конкурирующих продуктов двух крупнейших игроков рынка. Этичные хакеры получат возможность попытаться удаленно выполнить свой код на рабочих станциях EcoStruxure Operator Terminal Expert компании Schneider Electric и FactoryTalk View SE разработки Rockwell Automation. Для участников, которые попытаются взломать последнюю систему, предусмотрены дополнительные бонусы за перевод ее в состояние отказа в обслуживании или несанкционированное раскрытие информации, а также отдельная премия за эксплойт, устойчивый к перезапуску программы.

Прошлый Pwn2Own состоялся в марте этого года и принес своим участникам более полумиллиона долларов. Триумфатором конкурса стала команда Fluoroacetate, сумевшая взломать бортовую систему автомобиля Tesla Model 3 и получившая по итогам соревнования сам электрокар в качестве приза.

Категории: Кибероборона, Уязвимости