Donde los hackers se divierten: Pwn2Own

Estos días en la Ciudad de México se lleva a cabo la BSecure Conference 2011, evento organizado por Netmedia y que reune a profesionales de la seguridad de la información en conferencias y mesas de debate, donde se tratan los puntos importantes y que afectan a las empresas del país con respecto a uno de sus activos más importantes, la información.

Sin embargo no es el único evento que tiene lugar en el mundo de la Seguridad Informática, del 9 al 11 de marzo se celebra en Canadá la doceava edición del concurso Pwn2Own en la feria CanSecWest, un evento organizado por la empresa Vupen Security y que reúne aequipos de hackers dispuestos a vulnerar la seguridad de algunos dispositivos y navegadores, con la promesa de la fama y una jugosa recompensa para el primer equipo en encontrar una vulnerabilidad.

En cada edición participan navegadores y algunos dispositivos móviles, que incluyen equipos con iOS y Android debido a la popularidad de ambos SO. Además es importante mencionar que una vez encontrada una vulnerabilidad, esta no es publicada sino que se le da tiempo al desarrollador de corregirla y cuando eso pasa, ya publican como lograron vulnerar el sistema.

En la edición 2010 sólo Chrome logro mantenerse en pie después de los ataques de los hackers, lo cual no significa que sea 100% seguro ya que tiene algunas fallas, pero estas son muy dificiles de explotar debido al módelo de sandbox diseñado por Google.

Este año la competencia ya empezó y los principales participantes son los siguientes:

Navegadores:

  • Mozilla Firefox
  • Google Chrome
  • MS Internet Explorer 8
  • Apple Safari

Dispositivos móviles:

  • Samsung Nexus S – Android
  • HTC HD7 – Windows Phone 7
  • Blackberry Torch 9800 – RIM
  • Iphone 4 – iOS

Laptops:

  • Assus G73SW
  • Allienware MX11
  • Apple Macbook Air 13

Sistemas operativos:

  • Windows 7
  • Linux
  • Mac OSX

A unas horas de iniciado el concurso ya tenemos la primer víctimaes el navegador Apple Safari, el cual ni siquiera sabe que lo golpeo ya que lograron hackearlo en tan sólo5 segundos, y si están leyendo bien, ¡5 segundos es el nivel de seguridad de Safari! Es preocupante que Apple siga sin mejorar la seguridad de sus productos, aún cuando su nuevo director de seguridad propone un Vulnerability Tax para el software inseguro.

El concurso sigue y estoy seguro que en los 2 días que faltan veremos más productos vulnerados, sin embargo la pregunta que esta en el aire es si Google podrá mantenerse invicto un año más o si alguna otra compañía logrará ese honor. Yo podría apostar la comida a que el siguiente en caer es Internet Explorer y probablemente Firefox sea de los finalistas, con respecto a la supremacia de Chrome no estoy seguro si pueda mantenerla pero creo que seguirá dando pelea por conseguirlo.

Más información en los próximos días.

1 Comentario

  1. Es cierto que a Apple le falta mucho trabajo en ese aspecto, pero eso de los 5 segundos es solo el tiempo que tomo abrir la pagina con el exploit. En realidad tomo dos semanas a tres investigadores el crear dicho exploit.

    De todas formas esta bastante interesante la competencia 🙂 donde, btw, efectivamente explorer tambien cayo con un exploit que se tardo seis semanas en desarrollar que aprovechaba tres vulnerabilidades.

    http://arstechnica.com/security/news/2011/03/pwn2own-day-one-safari-ie8-fall-chrome-unchallenged.ars

    Saludos!

Dejar un comentario