Завершилось хакерское состязание Pwn2Own Miami 2022, проходившее с 19 по 21 апреля. Его участники заработали более 400 000 долларов, продемонстрировав 26 эксплоитов для уязвимостей нулевого дня в решениях ICS и АСУ ТП, сообщает Хакер.
На этот раз в рамках конкурса атаки исследователей были нацелены на несколько промышленных категорий: Control Server, серверы OPC Unified Architecture (OPC UA), Data Gateway, а также Human Machine Interface (HMI).
Напомню, что по правилам соревнования, после демонстрации уязвимостей во время Pwn2Own производителям дается 120 дней на выпуск патчей, а до истечения этого срока организаторы из Trend Micro Zero Day Initiative (ZDI) не раскрывают практически никаких деталей об обнаруженных багах.
Победителями Pwn2Own Miami 2022 стала команда Computest Sector 7, в которую вошли Даан Койпер (Daan Keuper, @daankeuper) и Тийс Алкемаде (Thijs Alkemade, @xnyhps).
В первый день соревнования они заработали 20 000 долларов, показав выполнение произвольного кода на сервере управления Inductive Automation Ignition SCADA и используя для этого уязвимость аутентификации. В тот же день они воспользовались уязвимостью типа uncontrolled search path для удаленного выполнения кода в AVEVA Edge HMI/SCADA, за что получили еще 20 000 долларов.
На второй день состязания Computest Sector 7 вызвали отказ в обслуживании (DoS) в Unified Automation C++ Demo Server, и заработали на этом еще 5000 долларов. Также во второй день Pwn2Own Miami 2022 команда сумела обойти проверку надежных приложений в стандарте OPC Foundation OPC UA .NET и добавила еще 40 000 долларов к заработанным средствам.
В итоге Computest Sector 7 выиграли титул Master of Pwn, заработав в общей сложности 90 000 долларов и 90 очков, заняв первое место в таблице лидеров.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
В Москве на площадке «Группы Астра» состоялось заседание Комитета по информационным технологиям Ассоциации менеджеров, посвященное теме: «Кибербезопасность: защита от атак, которые могут остановить бизнес».
