A segunda edição da competição PWN to OWN, na conferência de segurança CanSecWest (Vancouver), teve início nesta quarta-feira (26/03) e durou mais dois dias, terminando na sexta (28). Neste ano, três laptops foram disputados: um MacBook Air, com OS X, um Sony VAIO rodando Ubuntu Linux e um Fujitsu operando com Windows Vista Ultimate SP1. Como no ano passado — quando 2 MacBooks estavam em disputa –, quem conseguisse invadir um dos computadores com uma falha “dia zero” (uma brecha nova e desconhecida) poderia levar a máquina e um prêmio em dinheiro. Dos três laptops, apenas o Sony VAIO com Ubuntu sobreviveu aos 3 dias da competição.
O evento foi organizado pela equipe do Zero Day Initiative [ZDI] da TippingPoint. O ZDI compra informações de vulnerabilidades que ainda não possuem correção (”dia zero”) para proteger seus clientes dessas falhas. Como regra, qualquer brecha usada na competição deve ter seus detalhes revelados à TippingPoint, que então tem a responsabilidade de entrar em contato com o fabricante responsável para que uma correção seja disponibilizada.
No primeiro dia (quarta-feira), somente ataques remotos (por rede) eram permitidos. Os três sistemas sobreviveram. Se algum fosse comprometido, o prêmio — além do laptop — seria de 20 mil dólares.
No segundo dia, ataques por alguns programas comuns de internet — navegadores web, clientes de e-mail e mensageiros instantâneos — que acompanham os sistemas foram permitidos. Neste dia, o MacBook Air foi comprometido 2 minutos após o início da competição por meio de uma brecha no navegador web Safari. O responsável pela invasão foi o pesquisador Charlie Miller em conjunto com outros especialistas da empresa Independent Security Evaluators [ISE].
Seguindo instruções de Miller, os juízes da competição abriram um website no MacBook Air contendo o código desenvolvido pelo especialista. Uma vez aberto o website, Miller obteve o controle do sistema.
Os laptops rodando Vista e Linux sobreviveram ao segundo dia e tiveram de encarar o terceiro, quando plugins de navegador e outros programas comuns foram liberados. Por meio de uma falha no Flash Player da Adobe — comumente instalado nos navegadores –, Shane Macaulay (o mesmo que em 2007 auxiliou Dino Dai Zovi no ataque ao MacBook) conseguiu acesso ao laptop com Windows Vista e o levou para casa, além de um prêmio de 5 mil dólares.
De acordo com uma reportagem do IDG News Service, Macaulay tentava obter acesso ao laptop com Vista já na quinta-feira, mas não obteve sucesso. Macaulay contou com a assistência de Alexander Sotirov e Derek Callaway.
No fim do terceiro dia (e da competição), o laptop com Ubuntu foi o único que sobreviveu. Todos os sistemas usados na competição estavam em suas versões mais recentes e com todos os patches aplicados.
Nenhum comentário:
Postar um comentário