Share on Google+Share on FacebookTweet about this on Twitter

Para quien no lo sepa, pwn2own es un concurso anual de hackers contra los navegadores web para lograr la ejecución remota de código en el equipo destino. Las bases son muy simples. Se toman los 5 navegadores web en en versión oficial, en este caso Firefox 3.6, Internet Explorer 8, Chrome 10 y Safari 5. Dichos navegadores se ejecutarán en sistemas operativos completamente parcheados hasta la fecha, en este caso Windows 7 SP1 x64 y Snow Leopard x64. El objetivo es simple (simple de entender), los concursantes disponen de 30 minutos para lograr con éxito la ejecución remota de código. Los premios oscilan entre los 15.000$ y los 20.000$, sin contar premios en forma de portátiles y otros.

Aquí intervienen por tanto dos problemas diferentes para los Hackers. Primero, encontrar o conocer un fallo de seguridad crítico en el navegador que no haya sido parcheado. Segundo, saltar las medidas de protección de cada uno de los sistemas operativos. Evidentemente, estas últimas semanas TODOS los implicados en el desarrollo de los navegadores y los sistemas operativos han estado sacando actualizaciones para tenerlo todo controlado, para intentar que en el pwn2own su navegador y/o sistema operativo quedase inexpugnable. Tal es la fama y prensa de estos concursos que en esta última semana han sido decenas de fallos de seguridad que se han intentado cubrir especialmente en MAC OS, Safari, Chrome y Firefox. Curiosamente Microsoft ha sido el que menos interés ha puesto este año en parchear su navegador y su OS antes del concurso, es decir, no ha adelantado el boletín mensual de actualizaciones para este evento, posiblemente para que dentro de una semana lanzarlo con los fallos de seguridad detectados en el pwn2own corregidos. Si MS es un extremo, esta vez Google con Chrome también lo ha sido. Encontrar Exploits y ser capaz de usarlos no suele ser nada fácil, así que Google lo que ha hecho este año es curarse en salud de que el pwn2own pasaría sin afectarle en lo más mínimo. ¿Como? Muy simple, durante más de dos semanas ha estado pagando hasta 20.000$ a cualquiera que encontrase un fallo grave de seguridad. Con que objetivo? Simple, atraer la atención de muchos y además al dar premios mejores que el pwn2own darles un motivo más para arreglarlo digamos de puertas para adentro y no para fuera. Ya veremos si esta estrategia tiene éxito o no, pero por ahora sí la ha tenido, y Chrome ha sido con diferencia el navegador que más fallos de seguridad ha corregido estos días, incluso lanzando la versión de Chrome 10 tan solo hace dos o tres días.

El concurso comenzó ayer, y ya se ha saldado con las dos primeras víctimas, que creo que no nos sorprenderán a ninguno. La primera, como tantos otros años ha sido Apple. Su Safari + MAC OS Snow Leopard caía sin problema alguno. En este caso fue necesario un “simple” exploit. El navegador tan solo tenía que visitar una web maligna, y automáticamente se lograba el efecto deseado, la ejecución remota de código en Snow Leopard. En este caso la aplicación calculadora. El segundo en caer ha sido como era también de esperar Microsoft con IE8 + Windows 7 SP1, aunque en este caso fueron necesarias hasta 3 vulnerabilidades diferentes de IE8 para lograr el ataque con éxito, toda una hazaña si se me permite decir. Como he dicho, encontrar un fallo de seguridad y que pueda ser utilizable es bastante complicado, en el caso de Safari + MAC OS bastó con un fallo de seguridad crítico, en el caso de IE8 + Windows 7 fue necesario 3 diferentes para lograr el mismo efecto.

A día de hoy, tan solo queda en pie Firefox y Chrome. Chrome es más dificil por lo que hemos comentado antes, mientras que Firefox es hasta bonito que aun se mantenga en pié. No digo esto porque Firefox sea inseguro ojo, sino porque en este tipo de concursos se presupone que TODOS tarde o temprano van a caer. Aquí no nos sorprendemos tanto con el que un navegador falle, sino que ha sido necesario para lograr hacerlos saltar por los aires, el trabajo básicamente que les ha costado a los que están detrás a lograr el objetivo. También hay que tener en cuenta algo, Microsoft aun no ha lanzado su boletín mensual, mientras que todos los demás si lo han hecho, esto podría haber hecho la competición quizás más emocionante, pero la verdad es que no podemos decir si hubiese cambiado en algo o no el panorama. Lo único cierto por ahora es que han caído 2 de 4, le primero solo hizo falta una vulnerabilidad y en el segundo 3.

Lo veis? En realidad no soy yo quien dice que Apple tergiversa, son ellos al asegurar como han asegurado siempre que son el sistema operativo más seguro que hay, cuando en todos los concursos hackers y similares son los primeros en caer, y eso contando con la cuota de mercado que tienen!! Lo lógico es que el primero en caer fuese o IE en Windows 7 o Firefox en Windows 7, y que Safari en Snow Leopard fuese el último. Las cosas de la vida… veremos como se portan los navegadores hoy. El concurso terminará mañana.