A segunda edição da competição PWN to OWN, na conferência de segurança CanSecWest (Vancouver), teve início nesta quarta-feira (26/03) e durou mais dois dias, terminando na sexta (28). Neste ano, três laptops foram disputados: um MacBook Air, com OS X, um Sony VAIO rodando Ubuntu Linux e um Fujitsu operando com Windows Vista Ultimate SP1. Como no ano passado — quando 2 MacBooks estavam em disputa –, quem conseguisse invadir um dos computadores com uma falha “dia zero” (uma brecha nova e desconhecida) poderia levar a máquina e um prêmio em dinheiro. Dos três laptops, apenas o Sony VAIO com Ubuntu sobreviveu aos 3 dias da competição.
Pwn To Own 2007
O evento foi organizado pela equipe do Zero Day Initiative [ZDI] da TippingPoint. O ZDI compra informações de vulnerabilidades que ainda não possuem correção (“dia zero”) para proteger seus clientes dessas falhas. Como regra, qualquer brecha usada na competição deve ter seus detalhes revelados à TippingPoint, que então tem a responsabilidade de entrar em contato com o fabricante responsável para que uma correção seja disponibilizada.
No primeiro dia (quarta-feira), somente ataques remotos (por rede) eram permitidos. Os três sistemas sobreviveram. Se algum fosse comprometido, o prêmio — além do laptop — seria de 20 mil dólares.
No segundo dia, ataques por alguns programas comuns de internet — navegadores web, clientes de e-mail e mensageiros instantâneos — que acompanham os sistemas foram permitidos. Neste dia, o MacBook Air foi comprometido 2 minutos após o início da competição por meio de uma brecha no navegador web Safari. O responsável pela invasão foi o pesquisador Charlie Miller em conjunto com outros especialistas da empresa Independent Security Evaluators [ISE].
Seguindo instruções de Miller, os juízes da competição abriram um website no MacBook Air contendo o código desenvolvido pelo especialista. Uma vez aberto o website, Miller obteve o controle do sistema.
Os laptops rodando Vista e Linux sobreviveram ao segundo dia e tiveram de encarar o terceiro, quando plugins de navegador e outros programas comuns foram liberados. Por meio de uma falha no Flash Player da Adobe — comumente instalado nos navegadores –, Shane Macaulay (o mesmo que em 2007 auxiliou Dino Dai Zovi no ataque ao MacBook) conseguiu acesso ao laptop com Windows Vista e o levou para casa, além de um prêmio de 5 mil dólares.
De acordo com uma reportagem do IDG News Service, Macaulay tentava obter acesso ao laptop com Vista já na quinta-feira, mas não obteve sucesso. Macaulay contou com a assistência de Alexander Sotirov e Derek Callaway.
No fim do terceiro dia (e da competição), o laptop com Ubuntu foi o único que sobreviveu. Todos os sistemas usados na competição estavam em suas versões mais recentes e com todos os patches aplicados.
Linha Defensiva 
E tem gente que contesta a superioridade da segurança de sistemas baseados em linux. Além do mais, se achasse uma falha no Ubuntu, a não ser que fosse do kernel, ainda haveriam mais umas 328765428687 distribuições pra hackear…
CurtirCurtir
O Linux apenas foi ignorado, não significa que seja mais seguro…
CurtirCurtir
OSGod
Os 3 laptops tiveram participantes tentando obter acesso durante os 3 dias, especialmente nos dois últimos.
O próprio Macaulay tentou usar o mesmo exploit do Flash no Ubuntu. Mas ele admitiu que código vai precisar de refinamento antes que rode no Linux. No entanto, o fato de que ele conseguiu fazer o exploit funcionar primeiro no Vista (mesmo sem testá-lo previamente no SP1, como informou a alguns repórteres) nos diz alguma coisa.
O prêmio era exatamente o mesmo para os 3 laptops. Não faz sentido alguém ignorar qualquer coisa aqui. (Usando o próprio argumento da “ignorância”, pode-se dizer que algo teria sido ignorado por ser difícil demais de quebrar, não? Por isso este argumento não diz nada, mesmo se fosse verdade.)
CurtirCurtir
Considero que ninguem deixou nenhum sistema de lado, além de poder ganhar o prêmio, se descobrisse alguma brecha no Linux, ele seria bem mais reconhecido do que os outros. Mas notasse que o Ubuntu tem tido forte participação da comunidade no quesito segurança, mas acho que ainda dá pra aproveitar brechas no Linux usando o alguma falha no Firefox.
CurtirCurtir
Interessante que foi o MAC OS X que caiu primeiro, devido a uma falha no navegador safari, ou seja, se o navegador utilizado no mac fosse o firefox, provavelmente o mac teria passado ileso a mais um dia ou até mesmo ganhado junto com o Ubuntu.
O fato do windows vista suportar 2 dias foi interessante. Lendo a notícia, pensei que ele seria o primeiro a cair.
E está mais que confirmado que segurança = linux.
CurtirCurtir