El desafió de Hacking PWN to OWN celebrado durante la conferencia de seguridad de CanSecWest, ha finalizado ayer (28 de Marzo) luego de tres días de intensa acción, con dos caídos en batalla.Tanto Mac OS X como Windows Vista no toleraron los ataques en el segundo y tercer día respectivamente, cuyas vulnerabilidades aún no han sido reveladas pero algunos detalles ya se conocen.Durante el primer día del evento, los tres sistemas permanecieron intactos, dado que las reglas eran más bien estrictas y dificultaron que los participantes vulneraran alguno de estos.
Una vez terminado el primer día, se comunicaron nuevas reglas para el segundo, en donde ya se podría atacar las aplicaciones instaladas por defecto en los sistemas (desde clientes de correo, vulnerabilidades en navegadores al visitar una página, clientes de mensajería, entre otros).
El segundo día fue crítico para la Apple Mac Book Air, que cayó primero en batalla, de la mano de Charlie Miller, Jake Honoroff y Mark Daniel (de Independent Security Evaluators). Aparentemente habrían aprovechado una vulnerabilidad en el navegador de Apple, Safari (aunque no se han dado a conocer más detalles).
El tercer día llegó, el día final… a ver quien toleraba pasar el evento sin caer, y fue Windows Vista quien terminó en segundo lugar, cayendo en las manos de Shane Macaulay (de Security Objectives), comprometiendo una Fujitsu U810 corriendo Windows Vista Ultimate SP1. La vulnerabilidad explotada tiene como responsable al Flash de Adobe, por lo que de momento no se conoce más que el simple hecho de que su desarrollador ha sido informado en forma confidencial.
Cabe resaltar que durante el tercer día, ya se permitió ampliar el espectro de aplicaciones a algunas populares de terceros, por lo que la posibilidad de hacerse con el sistema era mucho mayor que en los dos días anteriores.
Finalmente, la portátil Sony Vaio corriendo Ubuntu fue la victoriosa del evento, dado que nadie pudo explotar una vulnerabilidad de forma satisfactoria en ninguno de los tres días del evento.
Podríamos sacar conclusiones rápidas y desmedidas que un sistema es más seguro que otro, pero en realidad no es el objetivo -principal- de este tipo de concursos (aunque bien causan una mala imagen para tanto Apple como Microsoft), ya que gracias a los resultados, permiten informarle de forma segura a sus desarrolladores para que arreglen las vulnerabilidades.
Según la gente de Linux World, algunos de los participantes conocían algunas vulnerabilidades (no reportadas) para comprometer la máquina con Ubuntu, pero ninguno se sentó a desarrollar el exploit necesario para hacerlo (¿respeto quizás?, nunca lo sabremos).
fuente: techtear.com
Comentarios