 |
Só un pode seguir vivo e neste caso foi o navegador estrela de Google. iPhone, Safari, Explorer e incluso o xa establecido Firefox caeron sen problemas nas mans dos mellores hackers do mundo que se reúnen cada ano en Canadá para intentar destruír os sistemas máis famosos do momento e sinalar os seus defectos de seguridade. Non obstante, non foron capaces de violar o duro modo "sandbox" que protexe Chrome, un coloso que resistiu os ataques dos mellores expertos en informática do planeta. |
O concurso anual Pwn2Own na feira de seguridade CanSecWest de Vancouver proporciona o ambiente perfecto para que os mellores expertos en seguridade informática do mundo poidan participar en todo momento contra todo tipo de gadgets e software. Ano tras ano, conseguen sortear os obstáculos de seguridade que intentan impoñer os sistemas obxecto de revisión, pero só uns poucos teñen a honra de chegar ao final do concurso sen un só fallo.
O primeiro en caer foi o exitoso iPhone de Apple, Vincenzo Iozzo e Ralf Philipp Weinmann só precisaron 20 segundos para facer o ridículo do dispositivo máis demandado do momento. Os hackers só fixeron que o iPhone (sen jailbreak) entrase nun sitio desenvolvido previamente por eles, desde onde copiaron toda a base de datos de SMS (incluso os eliminados) nos seus servidores. Declararon que, a pesar dos esforzos de Apple para evitar estas lagoas, "a forma en que implementaron a sinatura de código é demasiado indulgente". Gañaron 15.000 dólares por esta demostración de intelixencia e en canto a compañía da mazá arranxe o erro de seguridade, amosaranse os detalles do acceso.
Charlie Miller, principal analista de seguridade de Independent Security Evaluators, logrou cortar Safari nun MacBook Pro con Snow Leopard e sen acceso físico, gañando 10,000 dólares. Este vello can de evento consegue romper un dispositivo propiedade de Apple cada ano. Parece que tomou o pulso á marca. Non estaría de máis que a empresa o contratase para ver se dunha vez por todas poden acabar cos defectos de seguridade dos seus produtos.
O investigador de seguridade independente Peter Vreugdenhil gañou a mesma cantidade polo hack de Internet Explorer 8, que xa non sorprende a ninguén que vexa tamén unha edición e outra, xa que está impresionado cos ataques de calquera experto que a propoña. Para piratear IE8, Vreugdenhil afirmou ter explotado dúas vulnerabilidades nun ataque de catro partes que ignorou ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention), que están deseñados para axudar a deter os ataques no navegador. Como noutros intentos, o sistema viuse comprometido cando o navegador visitou un sitio que aloxaba código malicioso. O fallo deulle dereitos sobre o ordenador, que demostrou executando a calculadora da máquina.
Firefox tamén tivo que dobrar o xeonllo ante a astucia de Nils, xefe de investigación do Reino Unido de MWR InfoSecurity, que gañou 10,000 dólares da vulnerabilidade do navegador que está impedindo que Microsoft durma. Nils dixo que explotou unha vulnerabilidade por corrupción de memoria e que tamén tivo que superar ASLR e DEP grazas a un erro na implementación de Mozilla.
E, finalmente, o único que quedou en pé foi Chrome. Ata o de agora é o único navegador que segue invicto, algo que xa conseguira durante a edición de 2009 deste evento que ten lugar en Canadá e que busca advertir aos usuarios das vulnerabilidades dos programas. "Hai fallos en Chrome, pero son moi difíciles de explotar. Deseñaron un modelo de "sandbox" (sandbox), que é moi difícil de romper ", dixo Charlie Miller, o famoso hacker, que nesta edición conseguiu facerse co control de Safari nun Macbook Pro.
Fuente: Neoteo e Segu-Info e ZDNET
Sexa o primeiro en opinar sobre