|
Només un pot quedar viu i en aquest cas ha estat el navegador estrella del Google. iPhone, Safari, Explorer i fins i tot el consagrat Firefox han caigut sense problemes en mans dels millors hackers de l'món que es reuneixen tots els anys al Canadà per tractar de rebentar els sistemes més famosos de el moment i assenyalar-ne les fallades de seguretat. No obstant això, no han pogut vulnerar el duríssim manera «sandbox» que protegeix Chrome, tot un colós que ha resistit els atacs dels millors experts informàtics de l'planeta. |
El concurs anual Pwn2Own a la fira de seguretat CanSecWest a Vancouver ofereix l'entorn perfecte perquè els millors experts en seguretat informàtica de l'món es dediquin a ple rendiment contra tot tipus de dispositius i programari que estan de moda. Any rere any, aconsegueixen burlar les traves de seguretat que pretenen imposar els sistemes sotmesos a examen, però amb prou feines uns pocs tenen l'honor d'arribar a la fi de l'concurs sense una sola falla.
El primer a caure va ser l'exitós iPhone d'Apple.Vincenzo Iozzo i Ralf Philipp Weinmann tot just van necessitar 20 segons per deixar en ridícul a l'aparell més demandat de moment. Els hackers només van fer que l'iPhone (sense jailbreak) ingressés en un lloc prèviament desenvolupat per ells, des d'on van copiar tota la base de dades de SMS (fins i tot els eliminats) als seus servidors. Van declarar que tot i existir esforços per part d'Apple per impedir aquestes bretxes "la forma en què van implementar la signatura de codi és massa indulgent". Van guanyar 15.000 $ per aquesta demostració d'intel·ligència i pel que fa l'empresa de la poma repari l'error de seguretat, seran mostrats els detalls de l'accés.
Charlie Miller, analista principal de seguretat en Independent Security Evaluators, va aconseguir hackejar Safari en un MacBook Pro amb Snow Leopard i sense accés físic, de manera que va guanyar 10,000 dòlars. Aquest gos vell de l'esdeveniment aconsegueix rebentar tots els anys algun dispositiu propietat d'Apple. Es diria que li ha pres el pols a la marca. No estaria de més que l'empresa el contractés per veure si d'una vegada per totes aconsegueixen acabar amb les falles de seguretat dels seus productes.
L'investigador de seguretat independent Peter Vreugdenhil va guanyar la mateixa quantitat pel hackeo d'Internet Explorer 8, que ja no sorprèn a ningú veure una edició i una altra també, com cau fulminat davant els atacs de qualsevol expert que l'hi proposi. Per hackejar IE8 Vreugdenhil dir haver explotat dues vulnerabilitats en un atac de quatre parts que evitaven ASLR (Address Space Layout Randomization) i DEP (Data Execution Prevention), que estan dissenyades per ajudar a aturar atacs al navegador. Com en altres intents, el sistema estava compromès quan el navegador va visitar un lloc que allotjava codi maliciós. La decisió li va donar drets a l'ordinador, que va demostrar fent treballar la calculadora de la màquina.
Firefox també va haver de doblegar el genoll davant la traça de Nils, cap d'investigació al Regne Unit de MWR InfoSecurity, que va guanyar 10,000 dòlars a costa de la vulnerabilitat de el navegador que llevant-li el son a Microsoft. Nils va dir haver explotat una vulnerabilitat de corrupció de memòria i que també va haver de superar ASLR i DEP gràcies a una fallada en la implementació de Mozilla.
I finalment, l'únic que s'ha mantingut en peu ha estat Chrome. Fins ara és l'únic navegador que es manté invicte, cosa que ja havia aconseguit durant l'edició 2009 d'aquest esdeveniment que es realitza al Canadà i que busca advertir els usuaris de les vulnerabilitats dels programes. «Hi ha falles en Chrome, però són molt difícils d'explotar. Ells van dissenyar un model de 'caixa de sorra' (sandbox), que és molt complicat de vulnerar », va dir Charlie Miller, el famós hacker, i que en aquesta edició va aconseguir prendre el control de Safari en un Macbook Pro.
font: Neoteo i Segu-Info i ZDNET