in

Pwn2Own: Casi un millón de dólares en premios

Una vez más, la competencia Pwn2Own ha reunido a algunos de los expertos en seguridad más importantes del globo, con el objetivo de enfrentarlos a navegadores web y otros programas de alto nivel. Después de lo que fue un primer día récord en materia de premios, esta edición de Pwn2Own entregó un total de 850 mil dólares a los participantes. De más está decirlo, no dejaron títere con cabeza…

Ninguna compañía disfruta que alguien encuentre vulnerabilidades latentes en sus aplicaciones, pero si existe la posibilidad de descubrirlas en forma controlada, lo más lógico es aprovechar la situación. Los estímulos en efectivo mantienen ocupados a desarrolladores de todo el mundo, sin embargo, el Pwn2Own prácticamente se ha convertido en una parada obligatoria. La edición 2014 terminó ayer, y en sus dos días entregó 850 mil dólares en premios. El primer día fue particularmente llamativo, con 400 mil dólares repartidos entre la compañía francesa VUPEN, y otros dos expertos, Jüri Aedla y Mariusz Mlynski. De hecho, VUPEN se quedó con el 75 por ciento de esos 400 mil dólares, derribando a Adobe Flash, Adobe Reader, Internet Explorer, y Mozilla Firefox. El zorro de fuego fue el más golpeado durante el primer día, debido a que recibió la mitad de los ataques.

Pwn2Own
Chaouki Bekrar de VUPEN confirmando su exploit sobre Adobe Reader

En el día 2, la competencia ganó más temperatura, y eventualmente, los ataques de los participantes lograron poner de rodillas a Google Chrome (en dos ocasiones) y al navegador Safari de Apple. Firefox sufrió una derrota adicional a manos de George Hotz (el mismo del hackeo al iPhone y la PlayStation 3). VUPEN fue responsable de uno de los ataques a Chrome (el otro estuvo a cargo de un participante anónimo), mientras que Sebastian Apelt y Andreas Schmidt hicieron lo suyo con Internet Explorer, al igual que Liang Chen con Flash y Safari, y Zeguang Zhou, quien también logró ejecutar código a través de Flash. La suma de los premios en el segundo día se elevó a 450 mil dólares, sin contar el valor de las portátiles (después de todo, es Pwn2Own), y las donaciones que se realizaron en Pwn4Fun, donde participaron Google y el equipo ZDI de Hewlett-Packard. Google presentó un exploit en Safari que permite ejecutar la calculadora como root bajo OS X, y ZDI logró algo similar en Internet Explorer.

Pwn2Own
George Hotz (der.) observa con satisfacción la verificación de su exploit en Firefox

Donde no se registraron entradas fue en el desafío conocido como “Exploit Unicorn”, en el cual se debía realizar un ataque a Internet Explorer sobre Windows 8.1 x64 con la función EMET (Enhanced Mitigation Experience Toolkit) activada, siguiendo una secuencia específica. A pesar de que había 150 mil dólares para quien lo lograra, no llamó la atención de los expertos, quienes prefirieron enfocar sus recursos sobre otros programas. Los organizadores destacaron la calidad de los exploits, e indicaron que los participantes solamente necesitaron “menos de cinco minutos” para ejecutarlos. Todas las vulnerabilidades han sido reportadas a los desarrolladores, por lo que esperamos varios parches en el corto plazo.

Reportar

¿Qué te pareció?

Escrito por Lisandro Pardo

One Comment

Leave a Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Angry Birds Epic: Rovio apuesta al rol por turnos

Infinite Crisis: La beta abierta