A német főváros adott otthont a nagy presztízsű Pwn2Own kiberbiztonsági rendezvénynek, ahol a világ legjobb etikus hackerei mérték össze tudásukat. A Zero Day Initiative (ZDI) által szervezett esemény elsődleges célja, hogy ösztönzők segítségével, ellenőrzött keretek között derítsenek fényt eddig ismeretlen, úgynevezett nulladik napi biztonsági résekre. Az idei berlini találkozó különösen eredményesnek bizonyult, hiszen a résztvevők összesen 29 nulladik napi sebezhetőséget tártak fel, ami jelentős szám a kiberbiztonsági szakmában.
A három napon át tartó intenzív verseny során a kutatócsapatoknak számos különböző kategóriában kellett bizonyítaniuk rátermettségüket. A célpontok között szerepeltek mesterséges intelligencia alapú rendszerek, széles körben használt webböngészők, virtualizációs szoftverek, szerveralkalmazások és felhőalapú platformok is. Érdekesség, hogy bár a kiírásban több Tesla típusú gépjármű is szerepelt, mint potenciális célpont – és ezek feltöréséért jelentős jutalmak jártak volna –, egyik induló sem kísérelte meg ezek biztonsági rendszerét kijátszani. Ez eltérést mutat a korábbi, például Tokióban megrendezett, kifejezetten az autóiparra koncentráló Pwn2Own eseményektől, ahol a Teslák gyakran kerültek a támadások középpontjába.
A legfrissebb biztonsági javításokkal ellátott és naprakész operációs rendszereket futtató eszközök és szoftverek sikeres feltöréséért a szervezők összesen közel 1,1 millió dollárnyi díjat osztottak szét a résztvevők között. A legsikeresebben szereplő csapatnak a STAR Labs SG bizonyult; ők többek között a Red Hat Enterprise Linux, a Docker Desktop, a Windows 11, az Oracle VirtualBox és a VMware ESXi rendszerekben talált hibákért összesen 320 ezer dollárral gazdagodtak. Külön kiemelendő Nguyen Hoang Thach, a STAR Labs munkatársának teljesítménye, aki egyetlen, a VMware ESXi-t érintő sebezhetőség felfedezéséért önmagában 150 ezer dollárt vihetett haza, ami a verseny legmagasabb egyedi díjazását jelentette.
A Pwn2Own versenysorozat bevett gyakorlata szerint a felfedezett és bizonyítottan létező sérülékenységek kijavítására az érintett szoftver- és hardvergyártók 90 napos határidőt kapnak. Amennyiben ezen időszak alatt nem készül el a hibát orvosló frissítés, a TrendMicro kiberbiztonsági vállalathoz tartozó Zero Day Initiative nyilvánosságra hozza a biztonsági probléma részleteit, hogy így gyakoroljon nyomást a fejlesztőkre és tájékoztassa a felhasználókat.
Szerencsére a legtöbb esetben a gyártók komolyan veszik ezeket a bejelentéseket, és gyorsan reagálnak. Jó példa erre a Mozilla, amely már a berlini verseny hétvégéjén kiadta azokat a Firefox böngészőhöz készült frissítéseket, amelyek javították a rendezvényen felfedezett két, addig ismeretlen nulladik napi hibát. Ez is mutatja az ilyen típusú kiberbiztonsági események fontosságát, hiszen hozzájárulnak a digitális világ biztonságosabbá tételéhez azáltal, hogy a felfedezett hibák gyorsan javításra kerülnek, mielőtt rosszindulatú szereplők kihasználhatnák azokat. A Pwn2Own Berlin ismételten bebizonyította, hogy az etikus hackerek és a felelős sérülékenység-feltárás elengedhetetlen eszközei a modern kiberfenyegetések elleni védekezésnek. Az esemény nem csupán a tehetséges kutatók elismeréséről szól, hanem a gyártók és a biztonsági közösség közötti együttműködés fontosságát is hangsúlyozza. A kontrollált körülmények között végzett tesztelés lehetővé teszi, hogy a potenciális veszélyforrásokat még azelőtt azonosítsák és eliminálják, mielőtt azok valós károkat okozhatnának a felhasználók széles körében.
