Para quien no lo sepa, el Pwn2Own es un concurso anual sobre seguridad informática en el que se ponen a prueba los navegadores Web y los sistemas operativos más comunes. El concurso, no solo supone cuantiosos premios en metálico para los concursantes, sino que además está orientado a mejorar la seguridad de los navegadores y los SO en cuestión, ya que los concursantes están obligados a compartir con los programadores de los respectivos productos TODA la información relevante sobre los métodos usados, las vulnerabilidades encontradas y cualquier otro por menor.

Cada año, las bases del concurso suelen ser ligeramente diferente, los objetivos suelen variar a sí como los premios percibidos. Si bien el año pasado participaron en el concurso navegadores y sistemas operativos de terminales portátiles, este año se han quedado fuera. Las normas de este año son muy simples:

-Navegadores Usados: Mozilla Firefox 10, Microsoft Internet Explorer 9, Google Chrome 17 y  Apple Safari

-Sistemas Operativos: Windows 7 y MAC OS Lion

-Objetivo: Lograr un exploit de ejecución remota haciendo que cualquiera de los navegadores instalados en cualquiera de los sistemas visite un enlace proporcionado por el concursante. El código arbitrario invocado será siempre la ejecución de la calculadora del sistema.

 

Existen dos categorías:

-Exploit Zero-Day: Es decir, el concursante tiene que ser capaz de realizar una ejecución remota en uno de los sistemas TOTALMENTE parcheado y actualizado hasta la fecha del comienzo del concurso.

-Exploits publicados: En esta categoría, se han preparado sistemas XP (para Chrome, Firefox e Internet Explorer 8) y MAC OS Snow Leopard (para Safari)  dejando 2 vulnerabilidades de cada navegador abiertas (sin parchear), es decir se han dejado “abiertas” dos vulnerabilidades de Firefox, de Chrome/Safari (los dos usan el mismo motor) y de Internet Explorer. La idea en este caso es ser capaz de crear el exploit en el tiempo que dure el evento para esas vulnerabilidades en esos sistemas.

Para la primera categoría, se asignarán 32 puntos por cada éxito que se obtenga sin importar el día en el que se logre, para la segunda 10 puntos si se realiza en el primer día, 9 en el segundo y 8 si se realiza el último día.

 

Hay que tener en cuenta algo igual de importante, y es de nuevo la preparación o no preparación que los fabricantes acuden al concurso. En el concurso se entregan sistemas totalmente parcheados hasta el mismo día en el que comienzan. Es decir que los fabricantes de software (Mozilla, Google, Apple o Microsoft) tienen en teoría hasta ese mismo día para parchear sus sistemas. Esto es de suma importancia dado que un concursante podría llevar semanas preparando un exploit y el fabricante aprovechar el último día para tapar el agujero de seguridad. Luego es justo ver que es lo que ha hecho cada desarrllador con sus productos en estas últimas semanas en tanto a actualización de vulnerabilidades se refiere:

Mozilla Firefox Apple Safari Microsoft Internet Explorer Google Chrome Apple MAC OS X Microsoft Windows 7
2 2 4 34 49 7

 

Mozilla Firefox:

En lo que vamos de año, Mozilla tan solo ha tenido que enfrentarse a dos vulnerabilidades, parcheadas en dos entregas diferentes, el 13 y el 17 de Febrero. Ambas fueron subsanadas prácticamente al momento de conocerse. Desde entonces no ha sacado ningún otro parche de seguridad. El año pasado días antes del Pwn2Own sí respondió con la corrección de varios fallos de seguridad, este año tan solo lleva en su cuenta dos boletines, y por ello le damos la corona de oro en esta ocasión. Podemos decir que este año ha participado sin hacer “trampas”

 

Apple Safari:

En lo que lleva de año tan solo han sido publicado dos boletines de seguridad (todo un record para Safari), no obstante Apple de nuevo ha sido un chico malo, y aprovechó hasta el último minuto de que comenzase el concurso para publicarlos, el 7 de Marzo, es decir el mismo día que comenzó el concurso. Este mismo comportamiento lo vimos realizar el año pasado a gran escala, de nuevo apuró hasta el último momento para lanzar una macro actualización. De cara a Safari no ha sido mucho, pero sin duda han aprovechado hasta el último momento. Aun así no ha sido el peor parado ni mucho menos, este año como hemos dicho Safari se ha comportado.

 

Microsoft Internet Explorer:

Microsoft ha continuado con la tónica del año anterior. Cada fabricante tiene su propia política de actualizaciones, así por ejemplo Google y Mozilla suelen tener respuestas casi inmediatas, Apple responde de manera muy muy tardía, y Microsoft desde hace años y años como ya hemos dicho publica mensualmente (si no se detecta un error grave) el segundo martes de cada mes sus boletines y actualizaciones. Si miramos lo que ha hecho Microsoft en lo que llevamos de año con Internet Explorer, coincide a la perfección, y es que Microsoft pese a todo tan solo ha tenido que lidiar con 4 Boletines de seguridad, todos ellos publicados en su ciclo estándar de febrero, el día 14.

 

 Google Chrome:

Google es hoy nuestra primera oveja negra y se llevará el primer tirón fuerte de orejas. Ya el año pasado recompensó con fuertes sumas de dinero a cualquiera que lograse encontrar fallos de seguridad en su navegador (curiosamente justo antes del Pwn2Own), con la idea evidente de intentar por todos los medios que su navegador no fuese asaltado en el Pwn2Own de 2011. Además, aprovechó hasta el último minuto para actualizar su navegador al igual que hizo Apple. Este año ha realizado exactamente lo mismo. Durante unas semanas Google ha estado pagando a cualquiera que lograse descubrir fallos de seguridad en su navegador. Esta medida me parece sinceramente respetable y muy inteligente, pero recordemos que no por ello no es jugar con “trampas” en un concurso. Podríamos pensar que Google lo hace en post de la seguridad pero en cambio lo hace justo antes del Pwn2Own por segundo año consecutivo… ergo le importa más la mala prensa que la seguridad en sí. Además, no hay que olvidar ni obviar que Chrome ha cerrado lo que llevamos el año con la friolera de 34 boletines de seguridad!! Y tiene aun más delito si vemos que Google ha realizado al entrega de sus actualizaciones en dos entregas: La primera y más pequeña el 16 de febrero, y la más gorda hace exactamente 4 días, dos días antes de que comenzase curiosamente el Pwn2Own. Google… eres un tramposo.

 

Microsoft Windows 7:

Después de analizar los navegadores hay que analizar los parches de seguridad que se han aplicado a los sistemas, ya que para lograr un acceso remoto la primera barrera a superar es el navegador pero la segunda es el sistema operativo. Microsoft se salta una cuenta total de 7 vulnerabilidades en lo que va de año, entregadas de forma rigurosa con sus ciclos estándar al igual que las actualizaciones de Internet explorer. En este caso fueron dos entregas, una en el ciclo de enero (el martes 10 de Enero) y la segunda en el ciclo de febrero (el 14 de febrero). En términos generales le daría la medalla de plata en cuanto a navegadores y la de oro en cuanto a sistema operativo. Este año de nuevo participa con las manos limpias y con un historial bastante decente en cuanto a vulnerabilidades se refiere.

 

Apple MAC OS X:

Apple es la segunda oveja negra del día, pero contra todo pronóstico este año no lo es por Safari, sino por MAC OS. Apple este año no ha aprovechado en actualizar MAC OS hasta el último minuto como si hizo el año pasado o este año con Safari, pero sí que lanzó una macro actualización con la friolera de 49 fallos de seguridad, todos ellos entregados tan solo en una misma entrega el 3 de Febrero. No esperó hasta el último momento así que no podemos decir que su comportamiento fue el mismo que el de Google ni mucho menos, pero tan solo un mes antes parchear hasta 49 fallos (recordemos que Windows 7 tan solo ha tenido que hacer frente a 7) no es que sea jugar tampoco muy limpio, por no decir la inseguridad hacia sus usuarios. Es decir, lo de Google no tiene nombre pero al menos actúa con prontitud, al igual que Mozilla con Firefox. Microsoft posee ciclos totalmente regulares y es muy fial a ellos, pero Apple simplemente publica cuando cree que tiene que hacerlo.

 

Una vez que sabemos las condiciones del concurso y las condiciones en las que cada compañía acudió al concurso, sí podemos decir ya los resultados de este año:

 

Chrome

Después de todos los esfuerzos de Google, fue en vano. Vupen logró destrozar por completo Chrome en MAC OS X por medio de un Zero-Day exploit (la máxima pena para un navegador/sistema), dejando en bastante evidencia a Google. Hay que entender algo, cuando juegas limpio y pierdes, al menos puedes retirarte con la cabeza alta y entender que han sido unos buenos concursantes… pero en el caso de Google ver como Chrome sucumbía después de estar durante semanas pagando a expertos de seguridad e incluso lanzando grandes parches de seguridad hasta dos días antes…  eso señores es cuanto menos humillante, según mi modo de ver las cosas por supuesto. Eso sí, hay que destacar que Google ya ha parcheado Chrome y corregido el meritoso éxito de Vupen.

 

Internet Explorer

Despúes de que Vupen pulverizase Chrome, cambió de objetivo, y si su desayuno fue Chrome, su comida fue Internet Explorer. De nuevo imponiendo el máximo castigo con un otro exploit Zero-Day logró sacar la calculadora de Windows en este caso. Sin duda alguna otros merecidos 32 puntos en su cuenta.

Internet Explorer no solo cayó con la pena máxima, sino que Vupen fue capaz también de crear dos exploits más para cada una de las vulnerabilidades que se habían dejado abiertas en IE para tal efecto, y dado que todo fue el primer día, logro otros 20 puntos adicionales (10 por cada vulnerabilidad explotada)

Más tarde, la pareja Willen y Vincenzo lograrían también explotar una de las vulnerabilidades abiertas, los que les daría sus primeros 10 puntos.

 

Safari

Vupen no ha dejado títere con cabeza, y asaltó con éxito también las dos vulnerabilidades dejadas abiertas en Webkit, logrando otros 20 puntos por Safari. Lo mismo para el equipo formado por Willen y Vincenzo, que fueron capaces de realizar exactamente lo mismo.

Pese a todo no se ha logrado un exploit Zero-Day en Safari

 

Firefox

En esta ocasión fue el equipo de Willen y Vicenzo quienes lograron tumbar después de bastante sudor Firefox con un exploit Zero-Day en MAC OS Lion, cosa que no se logró el año pasado (asaltar Firefox), Para terminar, vulpen logró también con Firefox su éxito frente a las 2 vulnerabilidades abiertas, robando otros 20 puntos más. Willen y Vincenzo lograrían explotar tan solo una de ellas.

 

 

En esta ocasión es Google quien a defraudado, no porque haya caído, sino por jugar un tanto “sucio” y aun así caer pese al ingente número de vulnerabilidades parcheadas en el último momento. Por otro lado Apple se ha salvado en esta ocasión por pelos con Safari, aunque no con MAC OS, pese al macro parche de seguridad que lanzó en Febrero. Mozilla este año calló en el último momento pese a quedar invicto el año pasado, pero no será hasta la semana que viene en la que se darán a conocer todos los datos. Por último Microsoft, que junto con Mozilla son los dos únicos que pueden irse con la cabeza bien alta por acudir al concurso sin “trampas” algunas y sin cambiar sus ciclos de actualizaciones….

Un saludo amigos.