Share on Google+Share on FacebookTweet about this on Twitter

La versión Corta?

  • Safari (MAC OS): KO
  • Internet Explorer (Windows): KO
  • Chrome (Windows): Sobrevivió
  • Firefox (Windows): Sobrevivió
  • iPhone 4 (iPhone OS): KO
  • Dell Venue Pro (Windows Phone 7): Sobrevivió
  • Nexus S (Android): Sobrevivió
  • BlackBerry Torch 9800 (BlackBerry OS): KO

 

El Pwn2Own ha terminado otro año más, con sus sustos, sus sorpresas y sus obviedades. Los requisitos eran simple, lograr ejecución remota en los equipos con Windows 7/MAC OS Snow Leopard completamente parcheados a través de los navegadores Firefox, Intener Explorer, Chrome y Safari. Como novedad este año se incluían dispositivos portátiles para realizar la misma tarea: Android bajo un Nexus S, iPhone 4, BlackBerry (no recuerdo el modelo la verdad) y Windows Phone 7 (tampoco recuerdo el modelo que usaron), los tres primeros dispositivos usan un navegador basado en Webkit.

Lo interesante para mi este año no han sido los resultados en sí, que eran más o menos de esperar (con alguna sorpresa), sino el circo montado antes de la competición. El Pwn2Own comenzó el Miércoles y se extendió hasta ayer, hasta el viernes. Pues bien, como ya dije en la otra entrada todos excluyendo Microsoft tenían los deberes bien echos. En el Pwn2Own, el equipo objetivo siempre estará parcheado con todas las actualizaciones que hasta ese mismo día haya para el sistema operativo, y lo mismo para el navegador. Eso quiere decir que si 10 minutos antes de que comience el Pwn2Own hay una actualización, esta se instala. Es por ello que este año los logros que han realizado estos expertos han tenido aun más peso. Cada desarrollador ha optado por diferentes estrategias para impedir que su sistema y/o navegador sea vulnerable:

Microsoft: No lanzó ningún boletín de seguridad el Jueves anterior (MS lanza las actualizaciones los Jueves). Es decir, IE8 que fue la versión a asaltar no fue actualizado a conciencia para el Pwn2Own. Esto tiene dos lecturas. La primera que al no actualizarse la prensa será siempre menos dura con ellos si IE8 se logra atacar con éxito, en comparación con lo que la prensa y la imagen que podrían dar si a pesar de parchear el software a conciencia este es después hackeado. La segunda lectura, y desde mi punto de vista la que creo que sucedió, es que recordemos que si se cumplen los plazos Microsoft lanzará este Lunes la versión final RTM de su Internet Explorer 9. Quedarse a esperar el resultado del Pwn2Own es algo inteligente, dado que Microsoft podrá tomar nota de las vulnerabilidades usadas para hackear IE8 y proteger directamente IE9.  Si sumamos el punto primero y el punto segundo, tendremos un buen motivo.

Mozilla: Los chicos de Mozilla lanzaron una semana antes del Pwn2Own aproximadamente la versión de Firefox 3.6.15, en la que entre otras cosas corrigieron unos cuantos fallos de seguridad o así. Evidentemente no es una casualidad que el lanzamiento fuese cercano al Pwn2Own. Esto tiene además desde mi punto de vista un valor extra, porque recordemos que al igual que MS y su IE9, Mozilla está a días de lanzar también su Firefox 4, en el que se está trabajando de forma muy dura y concienzudamente, creerme. Aunque para IE9 si hay fecha, y posiblemente sea lanzado este lunes, Firefox 4 no se sabe aun… la RC1 ha sido ya oficialmente lanzada, si al final no es necesario llegar a una RC2, Firefox 4 podría estar listo para esta semana que entra o la siguiente a muy tardar. Si es necesario una RC2 es posible que se retrase una semanas más.

Google: En esta ocasión tengo que tirar de la oreja de Google y de muchos medios como después explicaré. Google no ha permitido de modo alguno que en el Pwn2Own se pudiese hackear su navegador Chrome. ¿Como se puede lograr esto? Es fácil, con dinero. Google anunció durante casi un mes que pagaría hasta 20.000$ a cualquiera que encontrase un fallo de seguridad en Chrome. El dinero dependía del tipo de fallo de seguridad y si dicha persona colaboraría o no en corregirlo. Evidentemente no tenemos datos de cuantos fallos de seguridad se corrigieron de este modo o cuantas personas lograron esa gratificación, pero es de esperar que muchos. Evidentemente y al igual que sucediese con Firefox, Google lanzó unos días antes (3-4 días) la versión 10 de Chrome, con todas las mejoras realizadas evidentemente y sistemas de seguridad más avanzados. Ojo, no me parece mal que Google se tome la seguridad tan en serio, eso es loable y ojala muchos tomasen ejemplo. Lo que sucede es que de todos los que tenemos aquí: Mozilla, Apple, Microsoft y Google, Mozilla es la que con diferencia no tiene una plantilla tan inmensa ni los recursos que tienen sus competidores. Google en contrapartida, como Apple o MS tienen dinero suficiente para poder realizar de cuando en cuando estas gratificaciones. ¿Que sucedió? Que si el premio en el Pwn2Own era el mismo o inferior a estos 20.000$ Google sedujo de antemano a cualquier hacker que tuviese pensado acudir al Pwn2Own para hacerlo saltar. En parte me parece bien su estrategia en parte me parece mal por ser algo así como un “soborno” en cubierto. El lado positivo en contra es que el beneficiado es el usuario, con lo que solo es un tirón pequeño de oreja a Google

Apple: Apple optó más o menos el mismo camino que Mozilla con Firefox. No dijeron nada, no se supo nada y justo el día antes (si si, el día antes dele Pwn2Own) lanzaron un aversión nueva de Safari, Safari 5.0.4 en la que, agarraos bien, solucionaron unos 62 fallos de seguridad. Señores, 62 fallos de seguridad es cuanto menos una monstruosidad. No significa que todos sean críticos, pero aun así… es una barbaridad. Chrome o Firefox a lo mejor corregirían unos 10-20 fallos (no tengo el dato ahora mismo lo siento), 62 es un número simplemente asombroso. Al igual que a Google, Apple se merece dos tirones de oreja. El primero por tener la “cara” de sacar la versión justo el día antes (y de este modo no dar tiempo a los Hackers a tener armas para asaltar el sistema) y otro tirón por tener que ser necesario el Pwn2Own para corregir 62 fallos!! Con IE, Firefox o Chrome jamás sucedería esto, el ciclo de actualizaciones es regular cuando se observa algún fallo de seguridad, no se espera a tener 70 fallos para publicar una actualización.

 

Evidentemente el que más o el que menos no quería que su navegador y su sistema operativo fuese hackeado. Esto no quiere decir que todos lograsen el objetivo. Ahora veremos como acabó la cosa:

Apple

Como otro año más, la más perjudicada. Safari bajo Snow Leopard fue el que antes sucumbió y de la forma más simple, aun cuando unas horas antes Apple lanzase una versión nueva de Safari con 70 fallos de seguridad corregidos. En palabras de su “hacker” “Tan solo nos costó 5 segundos en lograr el objetivo”. Es decir, que estos señores en tan solo 5 segundos serían capaces de hacerse con el control total de tu MAC con Snow Leopard, simplemente visitando una página web maliciosa. El usuario al visitar dicha web dejaría expuesto su MAC completamente al atacante, sin que este fuese consciente de nada. El exploit afecta al navegador, y este al estar ejecutándose en el sistema lograr a su vez la ejecución de código remoto en este. Posiblemente fuese un desbordamiento de Buffer o algo similar, sinceramente no me he parado a ver los detalles del exploit usado.

Pero no solo Safari sobre Snow Leopard fue atacado, sino que su iPhone 4 con la última actualización hasta el momento sucumbió también. En este caso fue más costoso (técnicamente) de lo que costó asaltar MAC OS, pero tampoco duró mucho el teléfono de Apple ante los expertos que se presentaron al concurso. Los dispositivos móviles tienen un problema que no tienen los equipos de sobremesa, y en particular el iPhone lo sufre aun más: Las actualizaciones. Si un usuario de iPhone 4 quiere estar protegido ante el exploit que logró acceso completo al dispositivo en el Pwn2Own tendrá primero que esperar que Apple lance la actualización, cosa que puede ser cuestión de días o de meses. Segundo, que el usuario lo actualice, lo cual implica conectarlo al PC y que quiera actualizarlo y por supuesto por medio de iTunes. Recordemos que por ejemplo con Android, cualquier pequeo parche de seguridad o incluso cualquier versión nueva, se suele suministrar vía OTA. Es decir que si hubiese sido Android quien hubiese caído, el parche de seguridad aparecería un día o dos días después para casi todo el mundo en forma de actualización OTA (Over The Air, es decir que no hace falta conectarlo a ningún sitio para poder actualizar el dispositivo). Recordemos que a día de hoy el ciclo de actualizaciones de Apple es el peor con mucha diferencia, Apple para que la prensa no hable mucho de sus fallos lo que hace es lanzar cada mucho tiempo actualizaciones más grandes para resolver todos los fallos que han descubierto hasta la fecha, lo cual deja completamente desprotegidos a los usuarios. El caso más sonado fue el de como hackear un iPhone por medio de simples SMS, y que Apple no hizo nada hasta pasados 6 meses, siendo público el exploit desde el primer mes.

 

Microsoft

Este año no ha quedado muy mal la verdad. A pesar de no haber sacado ninguna actualización de cara al Pwn2Own les ha costado bastante lograr asaltar IE8 bajo Windows 7. Como se dijo, fue necesario hasta tres fallos de seguridad diferentes para lograr el objetivo, algo sinceramente bastante complejo. Cuando se hablan de exploits muchos pueden pensar que es alto tan simple como crear una web con dos tonterías y poco más, o ejecutar un programa que automáticamente ataca a un objetivo y el asunto queda zanjado. No obstante, saltear las medidas ASLR y DEP en Windows 7 x64 no es algo que sea trivial, y requiere de un gran trabajo de fondo y conocimiento del sistema operativo, cosa que creerme si os digo no está al alcance de muchos. Con el mismo ejemplo que el año pasado, para cualquier hacker o experto en seguridad que sea capaz de asaltar actualmente Windows 7 x64, lo haría con los ojos cerrados, las manos atadas y en tan solo 10 segundos lograr asaltar MAC OS.

Por el lado de los dispositivos portátiles, Windows Phone 7 en contrapartida no se logró hackearlo, con lo que no está nada mal. También es verdad que Windows Phone no lleva tiempo en el mercado suficiente ni la atracción suficiente como para tener armas sobradas contra él. Si Windows Phone logra uan cuota de mercado aceptable, si será interesante ver el año que viene como acaba la cosa. Por lo menos su primer participación no lo ha dejado en mal lugar. Se ve que Microsoft se ha tomado la seguridad de sus productos bastante en serio.

 

Google

Como era de esperar, Chrome bajo Windows 7 no logró hackearse. Tan solo se presentó al final un solo concursante, el cual después de un rato decidió retirarse al ver que el sistema que estaba usando no era lo suficientemente estable como para tener digamos un éxito rotundo. Dos concursantes más que estaban en lista directamente no asistieron, posiblemente gracias a los premios que ha estado dando Google antes del Pwn2Own. Sea como fuese, Chrome 10 permaneció de pié ante las envestidas de los Hackers.

Por otro lado, Chrome no fue el único invicto, Android fue igualmente inexpugnable para los Hackers. El Nexus S a prueba superó también todas las cornadas, y a diferencia de iPhone 4, se pudo mantener en pié en todo momento. Bien por el trabajo que Google ha realizado a Android. Hay que tener en cuenta que mientras que un dispositivo de sobremesa o un portatil suelen tener una conexión a Internet protegida generalmente por un Firewall, los dispositivos portátiles cada vez más suelen tener una conexión 24 horas a Internet y sin ningún Firewall que pueda protegerlos, lo cual significa que estos dispositivos portátiles (sin incluir laptops/notebooks) están expuestos infinitamente más que un equipo de otro tipo. Como ya he dicho, cuando termine el escaner completo de los ISP españoles haré un escaner directo a los iPhone españoles, quiero comprobar lo fácil o no que resultaría por ejemplo el robar la agendas o los SMS de esos iPhone (por supuesto teóricamente hablando)

 

Mozilla

Si alguien me ha sorprendido sinceramente ha sido Firefox. Fueron los que menos actualizaron (quitando MS que no actualizó IE8), son los que más cuota de mercado tienen (o los segundos, dependiendo de la región), y aun así Firefox salió invicto!! No se pudo hackear Firefox 3.6.15 bajo Windows 7. Uno de los concursantes no se presentó, y los otros dos abandonaron al rato de comenzar. A un paso de aparecer Firefox 4 con un sin fin de mejoras que ya hablaremos largo y tendido, su versión actual ha pasado una buena prueba de seguridad. Sin premiar con dinero a quienes encontrasen fallos de seguridad, sin macro actualizaciones, sin siquiera promesas y pasando completamente desapercibido… Firefox superó la prueba, a mi parecer con un sobresaliente dado como he dicho la gran penetración que posee y el estilo Mozilla. Increible.

 

RIM

RIM participó con su BlackBerry, la cual no fue capaz de detener el asalto de los hackers… al igual que iPhone 4 sucumbió a los cerebros de estos grandes expertos en seguridad informática. Personalmente no lo sabía, pero por lo visto RIM ni siquiera implementa en BlackBerry protecciones como DEP o ASLR, lo que hace que encontrar un exploit y usarlo contra este sea infinitamente más simple de lo que pueda serlo en iPhone o en Android. Pese la baja cuota de mercado que tiene, los amigos de RIM tendrían que poner bastante más hincapié en la seguridad.

 

Conclusión

Estos concursos, aunque no dejan de ser concursos, muestra lo importante que es tener un OS y un navegador seguro. Cualquiera de las técnicas expuestas en este concurso se podrían usar para asaltar a los navegadores y sistemas operativos que han sorteado, por mucho antivirus o cortafuegos que tengamos. Es en este tipo de ataques, los Exploits, los fallos de seguridad… donde realmente está la importancia de la seguridad. Si el usuario es idiota y ejecuta un virus, la culpa no es del sistema operativo, es el usuario que ejecuta lo que le envían. En cambio, ante este tipo de amenazas no podemos hacer absolutamente nada, tan solo asegurarnos que nuestro software está siempre actualizado y que por supuesto tenemos dos dedos de frente, lo cual siempre ayuda. Es evidente que para la mayoría de las personas, que puedan acceder a nuestra información tampoco es que nos afecte demasiado, yo al menos no es que oculte nada… pero dile eso mismo a un alto ejecutivo que su portátil o su teléfono móvil es herramienta imprescindible, dile a él si le hace gracia que su BlackBerry o su iPhone esté completamente expuesta a los deseos de un hacker que no tenga buenas intenciones.

Apple suspende en todos los aspectos, Microsoft aguanta el tipo como puede, RIM tiene mucho que mejorar, Mozilla y Google tienen todos mis respetos.

 

Nota: Alguien ha caído en la cuenta que precisamente el Software de código abierto (que según asegura Apple o incluso MS al ser abierto es más fácil de encontrar fallos de seguridad) es precisamente el Software que ha quedado inviolado? Firefox, Chrome y Android, los tres de código abierto y los tres han aguantado con éxito, el único que se sale de la norma es Windows Phone 7. Desde aquí agradecer el trabajo de los que contribuyen de algún modo al software libre, que son muchos, y de los cuales ahora mismo me vienen a la mente algunos nombres, tanto de Google como de Mozilla.

Un saludo para todos, y seguro que nos veremos en el Pwn2Own del año que viene… o mañana o pasado con cualquier otra publicación, como siempre.