Skip to content

2013 CANSECWEST PWN2OWN 소개

January 27, 2013

올해 2013 CANSECWEST에서도 PWN2OWN 행사가 열리게 되었습니다. PWN2OWN 행사는 HP에서 시작한 이벤트로 일종의 해킹 컨테스트입니다. 일반 해킹대회랑 다른 점은, 해커가 자신이 발견한 제로데이 취약점을 대회 장소에서 사용하고, 만약 성공한 경우 상금을 주는 것입니다.

2013 CANSECWEST PWN2OWN 행사는 HP와 Google이 공동으로 진행합니다. 상금 역시 무척 높아서 많은 해커와 미디어의 주목을 받고 있습니다. 대회 주최측에서 요구하는 플랫폼이 제한되어 있습니다. 다음은 HP DVLABS 공식 블로그에 올라와있는 대상 플랫폼 리스트입니다.

– Web Browser
   – Google Chrome on Windows 7 ($100,000)
   – Microsoft Internet Explorer, either
     – IE 10 on Windows 8 ($100,000), or
     – IE 9 on Windows 7 ($75,000)
   – Mozilla Firefox on Windows 7 ($60,000)
   – Apple Safari on OS X Mountain Lion ($65,000)
– Web Browser Plug-ins using Internet Explorer 9 on Windows 7
   – Adobe Reader XI ($70,000)
   – Adobe Flash ($70,000)
   – Oracle Java ($20,000)

높은 인지도를 갖고 있는 웹 브라우저들이 주요 대상입니다. 인터넷 익스플로러, 크롬, 파이어폭스, 사파리 등입니다. 또한 웹 브라우저 자체에 대한 컨테스트도 진행하지만 웹 브라우저 플러그인들도 공격 대상이라고 볼 수 있습니다. 위에 보시다시피 PDF, Flash, Java가 포함되어 있습니다. 모든 환경이 최신 업데이트가 이루어진 상태입니다.

룰은 간단합니다.

1. 참가자는 대회 등록 시 본인이 참가하길 원하는 분야의 카테고리 선정
   (복수 허용)
2. 참가자는 대회 시 30분 동안 공격 시도 가능
3. 유저 인터렉션이 최소화되어야 함
   (특정 웹 페이지를 방문하는 것 정도의 수준은 가능)
4. 코드 익스큐션이 가능해야 함 (계산기 등을 실행해야 함)

플랫폼에 따라 다음과 같은 추가적인 규칙이 있을 수 있습니다.

# 만약 공격 대상 플랫폼에 샌드박스가 적용되어 있다면, 샌드박스도 우회해야 성공 인정 (예를 들어 크롬)

크롬같이 보안이 잘 되어 있는 웹 브라우저를 공략하는 것이 쉽지 않지만, 그에 걸맞는 상금을 받으실 수 있는데 크롬의 경우 한화로 1억이 넘는 상금을 받을 수 있습니다. 상금을 받기 위해서는 공격에 사용된 취약점과 관련한 상세 리포트를 제공해야만 합니다. 당연히 본 대회에서 사용되는 취약점은 공개된 적이 없는 버그여야만 합니다.

그리고 또 부가적인 상금이 존재합니다. HP에서 운영하고 있는 취약점 보상 프로그램인 ZDI에서 대회 입상자에게는 20,000 ZDI points와 함께 참가자가 대회에서 공략한 노트북을 준다고 합니다. 20,000 ZDI points를 얻게 되면 자동으로 ZDI Silver 등급으로 격상되는데 이때 $5,000의 현금과 15% monetary bonus, 25% reward point bunus, 마지막으로 데프콘 2013에 갈 수 있는 비행기표와 등록비를 제공합니다.

물론 이러한 공식적인 행사를 통하지 않고 그레이 마켓 혹은 블랙 마켓에 제로데이를 팔 경우, 더 많은 액수를 벌 수 있는 것은 사실입니다. 그러나, 공식적인 행사에 참가함으로써 자신의 네임 밸류를 높이고 크레딧까지 확보할 수 있다는 점에서 아주 매력적이라고 할 수 있습니다. 크롬이나 익스플로러를 장악한다면 한화 107,450,000원을 받을 수 있습니다!

웹 브라우저 이외에 플러그인 프로그램에도 높은 상금이 책정되어 있습니다. PDF나 Flash는 7만 달러부터 시작합니다. 자바는 비록 상금이 낮은 수준이지만, 해외 어떤 보안 업체의 경우 자바 취약점만 10~20개 이상 보유하고 있다고 하니, 그만큼 진입 장벽도 낮다고 할 수 있으므로 도전해볼만 합니다.

입상자 순위 구분은 없기 때문에 본인의 차례에 공격을 성공하면 수상자로 인정된다고 보시면 됩니다. 물론 총 상금 제한은 있지만 50만 달러이니 아마도 상금이 부족해서 수상자 명단에서 제외될 확률은 없을 것 같습니다. 여러번의 PWN2OWN 행사가 있었지만 지금껏 한번도 상금 부족으로 수상을 못한 참가자는 없었습니다.

아직 국내에서는 PWN2OWN 입상자가 없는데 국내에도 버그 헌터들이 늘어나고 있는 것으로 알고 있습니다. 올해 2013 CANSECWEST PWN2OWN에서는 국내 입상자들에 대한 소식이 있기를 기대합니다!

Advertisements

From → Security Misc

3 Comments
  1. dsf permalink

    beist 짱짱맨

  2. 자주들러겠습니다. 좋은 정보 포스팅 항상 감사드립니다. 그런데 트랙백이 없네요. ^^;;;
    제 블로그에 링크했어요.

  3. 밑에 노티피체크를 안해서…ㅎㅎ

댓글을 남겨주세요.

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: