Pwn2Own: Casi un millón de dólares en premios para los hackers


Publicado el: 14 de marzo, 2014

desarrolladores contest

Fuente: Neoteo.com

Una vez más, la competencia Pwn2Own ha reunido a algunos de los expertos en seguridad más importantes del globo, con el objetivo de enfrentarlos a navegadores web y otros programas de alto nivel. Después de lo que fue un primer día récord en materia de premios, esta edición de Pwn2Own entregó un total de 850 mil dólares a los participantes.

Ninguna compañía disfruta que alguien encuentre vulnerabilidades latentes en sus aplicaciones, pero si existe la posibilidad de descubrirlas en forma controlada, lo más lógico es aprovechar la situación. Los estímulos en efectivo mantienen ocupados a desarrolladores de todo el mundo, sin embargo, el Pwn2Own prácticamente se ha convertido en una parada obligatoria.

La edición 2014 terminó el 13 de marzo, y en sus dos días entregó 850 mil dólares en premios.

Día uno

El primer día fue particularmente llamativo, con 400 mil dólares repartidos entre la compañía francesa VUPEN, y otros dos expertos, Jüri Aedla y Mariusz Mlynski. De hecho, VUPEN se quedó con el 75 por ciento de esos 400 mil dólares, derribando a Adobe Flash, Adobe Reader, Internet Explorer, y Mozilla Firefox. El zorro de fuego fue el más golpeado durante el primer día, debido a que recibió la mitad de los ataques.

Día dos

En el día 2, la competencia ganó más temperatura, y eventualmente, los ataques de los participantes lograron poner de rodillas a Google Chrome (en dos ocasiones) y al navegador Safari de Apple.

Firefox sufrió una derrota adicional a manos de George Hotz (el mismo del hackeo al iPhone y la PlayStation 3)VUPEN fue responsable de uno de los ataques a Chrome (el otro estuvo a cargo de un participante anónimo), mientras que Sebastian Apelt y Andreas Schmidt hicieron lo suyo con Internet Explorer, al igual que Liang Chen con Flash y Safari, y Zeguang Zhou, quien también logró ejecutar código a través de Flash.

La suma de los premios en el segundo día se elevó a 450 mil dólares, sin contar el valor de las portátiles (después de todo, es Pwn2Own), y las donaciones que se realizaron en Pwn4Fun, donde participaron Google y el equipo ZDI de Hewlett-Packard. Google presentó un exploit en Safari que permite ejecutar la calculadora como root bajo OS X, y ZDI logró algo similar en Internet Explorer.

Donde no se registraron entradas fue en el desafío conocido como“Exploit Unicorn”, en el cual se debía realizar un ataque a Internet Explorer sobre Windows 8.1 x 64 con la función EMET (Enhanced Mitigation Experience Toolkit) activada, siguiendo una secuencia específica. A pesar de que había 150 mil dólares para quien lo lograra, no llamó la atención de los expertos, quienes prefirieron enfocar sus recursos sobre otros programas. Los organizadores destacaron la calidad de los exploits, e indicaron que los participantes solamente necesitaron “menos de cinco minutos” para ejecutarlos. Todas las vulnerabilidades han sido reportadas a los desarrolladores, por lo que esperamos varios parches en el corto plazo.

Concurso Pwn2Own

El concurso Pwn2Own que ya lleva 7 años en realizarse, se ha convertido en uno de los grandes ecualizadores y el antídoto perfecto para cualquier fanboy que insiste en que la plataforma que utiliza es la más segura. Sí, hay años en los que una determinada plataforma emerge ilesa, pero el patrón a largo plazo es clara. La lección: cualquier código que es lo suficientemente funcional para ser conveniente para los usuarios de Internet puede ser hackeado con efectos potencialmente devastadores. Sin duda, las mitigaciones que Microsoft, Google, Apple, Mozilla y Adobe han añadido a sus productos hacen el trabajo de los atacantes inconmensurablemente más difícil.

Pero mientras haya un suficientemente fuerte incentivo, por ejemplo, en la forma de beneficios financieros o de la capacidad de adquirir valiosa seguridad nacional o inteligencia industrial -hazañas como las entregadas en el Pwn2Own no sólo serán posibles, van a ser inevitables.

Vía: Neoteo.com

Custom Solutions for your business

Experience, Quality and Security

Contact us