idNSA.id - Peretas top Tiongkok telah berkumpul akhir pekan kemarin di kota Chengdu untuk bersaing di Tianfu Cup, sebuah kompetisi peretasan unggulan di negara itu.
Selama dua hari - 16 dan 17 November - peneliti keamanan Cina akan menguji zero-days terhadap beberapa aplikasi paling populer di dunia.
Tujuannya adalah untuk mengeksploitasi dan mengambil alih aplikasi menggunakan kerentanan yang belum pernah terlihat sebelumnya. Jika serangan berhasil, peneliti mendapatkan poin untuk menuju klasifikasi keseluruhan, hadiah uang tunai, juga reputasi yang datang dengan memenangkan kompetisi peretasan yang memiliki reputasi baik.
Aturan Piala Tianfu identik dengan apa yang kita lihat di Pwn2Own, kontes peretasan terbesar di dunia. Kedua peristiwa itu lebih terikat daripada yang diketahui kebanyakan orang.
Sebelum 2018, peneliti keamanan Tiongkok mendominasi Pwn2Own, dengan berbagai tim memenangkan kompetisi secara berturut-turut selama bertahun-tahun. Sekarang, semua bakat itu bertentangan satu sama lain.
Pada musim semi 2018, pemerintah Cina melarang peneliti keamanan berpartisipasi dalam kontes peretasan yang diselenggarakan di luar negeri, seperti Pwn2Own. TianfuCup didirikan beberapa bulan kemudian, sebagai tanggapan atas larangan itu, dan sebagai cara bagi para peneliti lokal untuk menjaga keterampilan mereka tetap tajam. Edisi pertama diadakan pada musim gugur 2018 dengan sukses besar, dengan para peneliti berhasil meretas aplikasi seperti Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox, dan banyak lagi.
KORBAN DI HARI PERTAMA: CHROME, EDGE, SAFARI, OFFICE 365
Hari pertama kompetisi adalah yang tersibuk, dengan 32 sesi peretasan dijadwalkan pada hari Sabtu. Dari jumlah tersebut, 13 berhasil, 7 sesi peretasan gagal, dan dalam 12 sesi peneliti keamanan menghentikan upaya eksploitasi, karena berbagai alasan.
Dari sesi yang sukses, panitia Piala Tianfu melaporkan peretasan yang sukses pada:
(3 successful exploits) Microsoft Edge (the old version based on the EdgeHTML engine, not the new Chromium version) [tweet]
(2) Chrome hacks [tweet]
(1) Safari [tweet]
(2) Adobe PDF Reader [tweet]
(3) D-Link DIR-878 router [tweet]
(1) qemu-kvm + Ubuntu [tweet, tweet]
Setelah hari pertama, Tim 360Vulcan, mantan pemenang Pwn2Own, memimpin.
Di masa lalu, banyak vendor perangkat lunak telah mulai menghadiri kompetisi peretasan, di mana mereka mengirim perwakilan untuk mengambil laporan kerentanan beberapa menit setelah sesi peretasan berakhir - dengan beberapa vendor mengirimkan patch dalam beberapa jam.
Ada beberapa vendor di Piala Tianfu. Namun, dengan banyak eksploitasi besar-besaran yang berhasil dicatat dalam dua edisi pertama kompetisi, banyak perusahaan kemungkinan besar akan mulai mempertimbangkan untuk mengirim perwakilan tahun depan. Google memiliki anggota tim keamanan Chrome di situs. Seorang juru bicara Microsoft telah menerima email kami, tetapi tidak dapat menjawab sebelum publikasi artikel ini.
Seorang juru bicara kompetisi mengatakan kepada ZDNet bahwa penyelenggara berencana untuk melaporkan semua bug yang ditemukan kepada semua vendor masing-masing di akhir kompetisi.
HARI KEDUA $200.000 UNTUK ESCAPE VMWARE
Dari 16 sesi yang dijadwalkan untuk hari kedua kompetisi, hanya setengah yang berjalan sesuai rencana, dengan para peneliti menyerah pada perdelapan. Dari setengah yang berhasil, tujuh sesi peretasan berhasil, dengan hanya satu yang gagal mencapai sasarannya. Ketujuh eksploitasi yang berhasil ditargetkan:
(4) D-Link DIR-878 [tweet]
(2) Adobe PDF Reader [tweet]
(1) VMWare Workstation [tweet, tweet]
Tim 360Vulcan menyerah pada upaya mereka untuk mengeksploitasi iOS dalam sesi mereka yang sangat dinanti, yang juga dijadwalkan terakhir, untuk mengakhiri turnamen.
Tim 360Vulcan, bagaimanapun, memenangkan kompetisi, mendapatkan $382.500 untuk upaya mereka meretas Microsoft Edge, Microsoft Office 365, qemu + Ubuntu, Adobe PDF Reader, dan VMWare Workstation.
Peran besar dalam memenangkan kompetisi memainkan VMWare dan eksploitasi qemu + Ubuntu, yang masing-masing menghasilkan $200.000 dan $80.000.
Sumber Artikel: ZDnet, Foto: TianfuCup
