今年 HITCON 再次舉辦 Hack2Own 競賽，邀請各單位提供其軟硬體產品與關卡，供參賽者進行挑戰與攻擊，參賽者須於 HITCON Community 大會當日至活動攤位現場展示，由參與單位及大會評審共同裁定漏洞等級並給予獎勵。

期待 Hack2Own 競賽的舉辦，除了讓世界各地的資安高手一同較勁、交流外，也透過參與單位願意公開檢測漏洞並修補的行為，協助證明該單位產品安全性的提升，同時令各界更加瞭解資訊安全的力量及重要性。

競賽由來

Hack2Own 競賽發想自 Pwn2Own，Pwn2Own 為全世界最著名、獎金最豐厚的駭客大賽，在競賽中透過駭客對產品的挑戰來檢測其品質。Pwn2Own 攻擊最新版本的軟體，包括許多應用廣泛的產品，攻破產品隻參賽者，將可獲得主辦單位 ZDI 提供的獎金和獎品。對安全研究人員來說，在 Pwn2Own 上獲獎象徵著其安全研究水平已達到世界領先的水準，而各參賽團隊的表現，也代表​​其國家網路攻防技術的實力。

活動日期

活動預計在七月中旬公告參與的單位與該單位所提供的競賽設備型號與系統版本，並於 8 月初開始供參賽者或隊伍進行挑戰，期間成功找到漏洞之參賽者或隊伍須在8 月 28、29 日於中央研究院人文科學館對參與單位展示攻擊過程。

參與單位及設備列表：

廠商：群暉科技 Synology / 目標：DiskStation
獎項：DiskStation 帶回家

測試網站：http://211.23.29.74:5000

帳號/密碼: syno/DemoSite2015

1. 可以任意存取使用者資料, 存/取加密後的資料, 任意修改系統設定值而不觸發 Security Advisor
2. 可以任意讀取使用者非加密資料/系統的設定值
3. 可以列舉使用者不敏感的資料, 包含但不限於使用者名稱/使用者資料的檔名等
4. 其餘安全漏洞

DiskStation 帶回家

• 獎品：DS1515 (最多 1 台, 超過的話就以最先發現者為主)
• 獎品：DS715 (最多 2 台, 超過的話就以前二發現者為主)
• 獎品：DS215j (最多 2 台, 超過的話就以前二發現者為主)

廠商：晶睿通訊 Vivotek / 目標：NVR
獎金：NT$ 20,000 15,000 10,000 3,000 3,000

測試設備與說明：所有測試版本 ND8322P 8CH PoE

1. 遠端命令執行 - NT$ 20,000
2. 任意存取檔案系統或資料庫 - NT$ 15,000
3. 邏輯錯誤、繞過驗證機制 - NT$ 10,000
4. 攻擊客戶端 - NT$ 3,000
5. 其餘安全漏洞 - NT$ 3,000

ps.總獎金金額上限為300,000元整，當累積獎金金額超過此限制時，將暫停後續比賽

進行方式

• 如成功攻下主機者，須於大會當天至 Hack2Own 活動區申請並進行展示，由現場裁判進行漏洞分級的判定，並依據漏洞等級給予對應之獎金或獎品。

• 大會裁判：大會與各參與單位各派一至兩名人員擔任裁判，裁判得判斷是否為零時差攻擊並決定漏洞等級。

• 大會獎金：獎金多寡根據漏洞等級而定，由各單位自行制定詳細之獎勵發放條件。

競賽規範

• 大會將於競賽當日佈置 Hack2Own 攤位，參與單位須至攤位前完成網路環境及帳號密碼等設定，並遵循各參與單位訂定之規則，讓參賽者依當日報名順序展示其發現。
• 參與單位須派一至兩名人員至現場擔任裁判，並與大會裁判共同判定漏洞等級。
• 參賽者攻擊所用之漏洞必須是未知、未公佈且未向廠商提交過的，且不得重複利用。例如，參賽者已經送 payload 進去得到遠端控制權限後，利用前述漏洞上傳網頁版遠端控制代碼，此種行為將不被接受。
• 參賽者執行遠端攻擊必須排除操作背後之人為干擾，必須出現在使用者正常的操作情況下，不得有重新啟動或下線、登入等情況。
• 若有不同參賽者使用相同漏洞之情形，大會將視先進行現場展示的參賽者為第一發現者，並以此為獎勵發放之依據。

注意事項

• 大會對成功提交漏洞的參賽者之個人技術能力表示認可，但不認為活動結果與參賽者所屬機構之技術能力存在對應關係，亦不認為活動結果能直接反映相關軟體或設備的安全水準。
• 大會保證嚴格要求參賽者配合，於活動現場共同將詳細技術資訊提供給各單位代表，如該參與單位未有代表在場，大會將於活動結束後以郵件形式提供之，必然會完整呈交相關資訊予參與單位，並承諾在各單位修補前不對任何第三方洩露資訊。
• 大會承諾非 Hack2Own 的評審委員，將不會參與相關軟體或設備的評定。同時，在未經參賽者同意的情況下，大會不會將參賽者個人資訊透露給第三方，也不會利用參賽者個人資訊及隱私從事任何商業活動。