Günümüzde Çinli hackerların dünya sıralamasında önde olduğu düşünülüyor [1]. Dünyanın en büyük hacking yarışması olan Pwn2Own’a 2018’den bu yana katılamayan Çinliler kendi yarışmaları olan Tianfu’yu düzenlediler. Bu seferki yarışma 16-17 kasımda Chengdu şehrindeydi.
Tianfu Kupası’nın kuralları, Pwn2Own ile aynı. 2018’den önce, Çinli güvenlik araştırmacıları Pwn2Own’da arka arkaya çeşitli yıllarda kazandılar. Ama artık kendi kendileri ile yarışıyorlar. Çünkü 2918 baharında Çin hükümeti güvenlikçilerinin Pwn2Own gibi yurtdışı hacker yarışmalarına katılmalarını yasakladı.
Tianfu’da amaç, (aynen PWn2Own da olduğu gibi) daha önce bilinmeyen güvenlik açıklarını bulmak ve çok popüler bir uygulamaya sızmak. Başarılı olan güvenlikçi, sıralamada bir yer ve dolayısıyla prestij kazanıyor. Yanısıra nakit para ödülleri var.
Tianfu ilk kez 2018 sonbaharında düzenlendi ve katılımcılar Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox ve daha pek çok uygulamayı başarıyla hacklediler. Yarışmayı düzenleyenler atasında Baidu, Alibaba, Tencent, Qihoo 360 ve diğer Çinli teknoloji firmaları var.
Yarışmaya katılanlar “beyaz şapkalı hacker” olarak adlandırılıyor. Bunlar genellikle Çinli büyük firmalarda çalışan güvenlikçiler.
Bu yılın yarışmasında, Microsoft Edge’in 3, Google Chrome’un 2 ve Apple Safari’nin 1 açığı tespit edildi. Yazılım kategorisinde ise Microsoft Office 365 ProPlus ve Adobe PDF Reader’a sızıldı. Ayrıca D-Link ve TP-Link router’ları hecklendi.
Yarışmada Team 360Vulcan, Microsoft Edge, Microsoft Office 365, qemu + Ubuntu, Adobe PDF Reader ve VMWare Workstation’ı hacklediklerinden dolayı 382.500 $ kazanarak başarılı oldu.
Bulunan açıkların, üretici firmalarla paylaşıldığı not edildi. Tianfu Kupası’nda çok az satıcı firma vardı. Bununla birlikte, yarışmanın ilk iki etkinliğinde bulunan yüksek profilli açıklar nedeniyle, önümüzdeki etkinliklere çoğu şirketin birer temsilci göndermeyi düşünecekleri kaydediliyor.
[1] Rus Hackerlar, Çinlilerden 13, İranlılardan 16, Kuzey Korelilerden 6 Kat Hızlı
[2] Pwn2Own “CanSecWest” (CanSecWest) isimli güvenlik konferansı içinde 2007’den beri yılda 2 kere düzenlenen bir yarışma. Katılımcılardan yüksek kullanımı olan bir yazılıma sızması ve mobil cihazlarda daha önce bilinmeyene bir açığı bulmaları istenir. Ödülü paradır. 2018 yılında Çinlilerin katılımı engellendi. Onlar da Tianfu yarışmasını organize ettiler.
[3]Tianfu Cup