趋势科技公布Zero Day Initiative (ZDI) 漏洞悬赏计划的秋季Pwn2Own黑客大赛优胜者。整场活动总共颁发高达989,750美元的奖金,收购了63个非重复零时差漏洞。这些漏洞若被不法黑客开发成武器,其造成的时间、资料与财物损失可能为世界带来10倍的冲击。
趋势科技ZDI威胁意识提升总监Dustin Childs指出:“身为一家安全厂商,我们不仅有责任保护我们的客户,同时也有义务让我们生活和工作的数字联网世界变得更安全。今年的Pwn2Own披露了大量的漏洞,彻底实践了这项使命,但也突显出分布式人力所造成日益严重的安全威胁。”
根据民调机构Gallup (盖洛普) 估计,目前美国约有80%的员工有部分或全部时间在家上班。然而,在这样的情况之下,万一家中的路由器、智能音箱、打印机、网络存储设备 (NAS) 等设备没有做好安全防护措施,很可能会扩大企业的受攻击面。今年发生好几起Deadbolt勒索病毒入侵全球NAS设备事件即突显企业正面临的潜在风险。
此外,黑客还可通过已黑入的小型/家庭办公室 (SOHO) 联网设备作为跳板,在网络内部四处游走,进而找到一个连上企业资源的设备。
这正是为何今年秋季Pwn2Own黑客大赛会特别设计了一个名为“SOHO Smashup”的类别,考验黑客入侵Wi-Fi路由器与联网设备的能力。只要参赛者能在30分钟内同时取得两种设备的完整控制权,就能赢得10万美元与10点黑客大师 (Master of Pwn) 点数。
家用设备的漏洞一旦经由Pwn2Own赛事及趋势科技ZDI披露,就会纳入趋势科技威胁情报以保护着日益交错的消费性网络与企业网路。就在业界致力提升SOHO设备的风险意识之际,政府部门也采取了一些行动来提升消费者的信心,因为这类技术的安全责任经常成为员工与企业之间互踢皮球的情况。
欧盟已经提案立法要求联网设备厂商须为设备提供最低限度的安全性,至于美国则是预备推出如能源之星 (Energy Star) 的新标示系统。
今年的Pwn2Own已于2022年12月6日至8日在趋势科技加拿大多伦多 (Toronto) 办公室顺利落幕,针对亲自参加的队伍,趋势科技提供了高达3,000美元的差旅补助。至于无法亲自到场的队伍,则是从远程参赛。