Para quien no lo sepa, pwn2own es un concurso anual de hackers contra los navegadores web para lograr la ejecución remota de código en el equipo destino. Las bases son muy simples. Se toman los 5 navegadores web en en versión oficial, en este caso Firefox 3.6, Internet Explorer 8, Chrome 10 y Safari 5. Dichos navegadores se ejecutarán en sistemas operativos completamente parcheados hasta la fecha, en este caso Windows 7 SP1 x64 y Snow Leopard x64. El objetivo es simple (simple de entender), los concursantes disponen de 30 minutos para lograr con éxito la ejecución remota de código. Los premios oscilan entre los 15.000$ y los 20.000$, sin contar premios en forma de portátiles y otros.
Aquí intervienen por tanto dos problemas diferentes para los Hackers. Primero, encontrar o conocer un fallo de seguridad crítico en el navegador que no haya sido parcheado. Segundo, saltar las medidas de protección de cada uno de los sistemas operativos. Evidentemente, estas últimas semanas TODOS los implicados en el desarrollo de los navegadores y los sistemas operativos han estado sacando actualizaciones para tenerlo todo controlado, para intentar que en el pwn2own su navegador y/o sistema operativo quedase inexpugnable. Tal es la fama y prensa de estos concursos que en esta última semana han sido decenas de fallos de seguridad que se han intentado cubrir especialmente en MAC OS, Safari, Chrome y Firefox. Curiosamente Microsoft ha sido el que menos interés ha puesto este año en parchear su navegador y su OS antes del concurso, es decir, no ha adelantado el boletín mensual de actualizaciones para este evento, posiblemente para que dentro de una semana lanzarlo con los fallos de seguridad detectados en el pwn2own corregidos. Si MS es un extremo, esta vez Google con Chrome también lo ha sido. Encontrar Exploits y ser capaz de usarlos no suele ser nada fácil, así que Google lo que ha hecho este año es curarse en salud de que el pwn2own pasaría sin afectarle en lo más mínimo. ¿Como? Muy simple, durante más de dos semanas ha estado pagando hasta 20.000$ a cualquiera que encontrase un fallo grave de seguridad. Con que objetivo? Simple, atraer la atención de muchos y además al dar premios mejores que el pwn2own darles un motivo más para arreglarlo digamos de puertas para adentro y no para fuera. Ya veremos si esta estrategia tiene éxito o no, pero por ahora sí la ha tenido, y Chrome ha sido con diferencia el navegador que más fallos de seguridad ha corregido estos días, incluso lanzando la versión de Chrome 10 tan solo hace dos o tres días.
El concurso comenzó ayer, y ya se ha saldado con las dos primeras víctimas, que creo que no nos sorprenderán a ninguno. La primera, como tantos otros años ha sido Apple. Su Safari + MAC OS Snow Leopard caía sin problema alguno. En este caso fue necesario un “simple” exploit. El navegador tan solo tenía que visitar una web maligna, y automáticamente se lograba el efecto deseado, la ejecución remota de código en Snow Leopard. En este caso la aplicación calculadora. El segundo en caer ha sido como era también de esperar Microsoft con IE8 + Windows 7 SP1, aunque en este caso fueron necesarias hasta 3 vulnerabilidades diferentes de IE8 para lograr el ataque con éxito, toda una hazaña si se me permite decir. Como he dicho, encontrar un fallo de seguridad y que pueda ser utilizable es bastante complicado, en el caso de Safari + MAC OS bastó con un fallo de seguridad crítico, en el caso de IE8 + Windows 7 fue necesario 3 diferentes para lograr el mismo efecto.
A día de hoy, tan solo queda en pie Firefox y Chrome. Chrome es más dificil por lo que hemos comentado antes, mientras que Firefox es hasta bonito que aun se mantenga en pié. No digo esto porque Firefox sea inseguro ojo, sino porque en este tipo de concursos se presupone que TODOS tarde o temprano van a caer. Aquí no nos sorprendemos tanto con el que un navegador falle, sino que ha sido necesario para lograr hacerlos saltar por los aires, el trabajo básicamente que les ha costado a los que están detrás a lograr el objetivo. También hay que tener en cuenta algo, Microsoft aun no ha lanzado su boletín mensual, mientras que todos los demás si lo han hecho, esto podría haber hecho la competición quizás más emocionante, pero la verdad es que no podemos decir si hubiese cambiado en algo o no el panorama. Lo único cierto por ahora es que han caído 2 de 4, le primero solo hizo falta una vulnerabilidad y en el segundo 3.
Lo veis? En realidad no soy yo quien dice que Apple tergiversa, son ellos al asegurar como han asegurado siempre que son el sistema operativo más seguro que hay, cuando en todos los concursos hackers y similares son los primeros en caer, y eso contando con la cuota de mercado que tienen!! Lo lógico es que el primero en caer fuese o IE en Windows 7 o Firefox en Windows 7, y que Safari en Snow Leopard fuese el último. Las cosas de la vida… veremos como se portan los navegadores hoy. El concurso terminará mañana.
En seguridad lo bueno del sistema de MAC no es que sea el mejor, sino que no es tan atacado como Windows, está en el mismo caso que linux, al final lo mas atacado es lo que mas gente usa.
Completamente cierto, pero es un arma de doble filo.
Linux es tanto o más seguro que Windows aun cuando su uso es minorista, y por ello cuando se requiere una seguridad extra o completamente controlable, se usa Linux.
Por otro lado, creer que se está más seguro con MAC OS porque hay menos ataques es muy peligroso, porque lo único que logras es que cualquier usuario esté completamente desprotegido siempre. Es decir, el propio conocimiento de que un sistema puede fallar (en cuanto a seguridad se refiere) aporta un grado muy importante de seguridad en él, y hace que los programadores de dicho software se esmeren.
A día de hoy encontrar un exploit usable en MAC OS es un juego de niño para un Hacker, mientras que hacer lo mismo para Windows es harto complicado. Sí, en términos globales sufre infinitamente menos ataques que se orquestan para cazar a la mayor población sea posible, pero por otro lado hay montones de más hackers o expertos ante los cuales expones todos tus datos o equipos/sistemas.
Un ejemplo real. Dentro de unos días, cuando termine con el escaner completo de las redes españolas, voy a hacer un escaner más preciso directamente contra iPhones españoles. Con ese simple escaner podría sin mucho problema comprometer fácilmente los datos/seguridad de muchos de esos usuarios. Si quisiese hacer lo mismo contra terminales Android o Windows Mobile lo tendría infinitamente más complicado
Estimo que una vez creado el mejor script para el escaner, podría tener al menos expuestos al 60%-80% de todos los iPhone en españa que tengan conexión 3G, y de todos ellos estimo que a un 5-10% de ellos podría jugarles una mala pasada. Eso en números globales son muchas personas.
Pues bien, este ejemplo es completamente extrapolable para MAC OS. Prefieres un OS que sea mucho más seguro pero en el punto de mira de los atacantes o prefieres un OS mucho más inseguro pero que generalmente se ignore por el poco uso que tiene? Yo prefiero lo primero por una razón simple: El 99% de todo el malware que acusa a Windows es consecuencia directa del usuario, lo único que para un usuario tendría que ser crítico son los exploits, el resto es aunque suene feo la insensatez del usuario. El otro 1% es imposible de evitar, tan solo siendo el OS seguro por naturaleza, que es donde MAC OS fracasa.
Es decir, que con un mínimo de cuidado Windows se convierte en un objetivo infinitamente más complicado de alcanzar en todos los aspectos. Como nota de curiosidad, aun no he tenido que limpiar ningún malware a ningún equipo que he instalado con Windows 7, por supuesto que todo ello incluía una pequeña sesión didáctica de buenas y malas praxis.
Aun así, es evidente como estamos viendo en el pwn2own que el buen hacker siempre se machacará el craneo para pasear por el sistema operativo como pepito por su casa, pero eso es inevitable, a fin de cuenta el programador es humano, y siempre hay un humano más listo que otro.
Bueno parece que de nuevo cayo Apple
http://www.ifans.com/blog/17464/