Pwn2Own 2017 es un concurso hacker que tiene como objetivo poner a prueba la seguridad de sistemas operativos o navegadores. Está patrocinado por algunas grandes tecnológicas y los participantes (hackers profesionales y especialistas en seguridad) tienen que preparar exploits para romper la seguridad en un tiempo determinado y lograr fama y dinero, porque las recompensas son muy generosas.

El Pwn2Own 2017 celebraba este año su décimo aniversario y como habrás visto en el titular, hay un “perdedor” en el segmento de navegadores. Y lo decimos entre comillas porque cada hack descubierto en un desarrollo lo hace más seguro. Y siempre es mejor que las vulnerabilidades sean reveladas en un concurso de especialistas en seguridad y no por los “malos” que inundan la Red de malware. Además, hay que señalar que Edge fue el navegador al que se dirigieron un mayor número de ataques.

Dicho lo cual, Microsoft tiene trabajo con el navegador exclusivo de Windows 10, Edge, porque fue hackeado 5 veces durante Pwn2Own 2017, el que más de todo el concurso. Escrito desde cero en casi toda la parte de su código y con el añadido de tecnologías sandboxing, Edge es más seguro que Internet Explorer como se mostró en el Pwn2Own del pasado año. Sin embargo, no se ha mostrado bastante seguro cuando se enfrenta a especialistas en este tipo de concursos.

Un equipo de Tencent Security fue el primero en hackear Edge a través de una escritura arbitraria en el motor de JavaScript, Chakra. También usaron un error lógico para escapar del sandbox. El equipo logró 80.000 dólares por el hackeo. El hack más espectacular llegó de 360 Security, aprovechando un error de desbordamiento de pila y realizando el hackeo desde una máquina virtual VMware Workstation hacia el sistema anfitrión. Se llevaron 105.000 dólares de premio. El resto utilizó otras vulnerabilidades, incluyendo un desbordamiento de memoria en el kernel Windows.

Cómo le fue al resto de navegadores

Frente a los ataques a Edge, solo hubo un intento de hackear Chrome. Lo realizó Tencent Security pero no logró concluirlo en el tiempo asignado. No se conoce si lo hubieran logrado con más tiempo o tal vez Google ya había descubierto el error y estaba parcheado. En todo caso, Chrome logró terminar el concurso impoluto.

Tres equipos diferentes fueron capaces de hackear Safari, revelando al menos 9 vulnerabilidades. El navegador de Apple no ha destacado nunca en estas pruebas y todos los años es hackeado ampliamente por varios equipos.

Firefox estaba de vuelta en el Pwn2Own de este año después de haberse perdido el año pasado, dicen las malas lenguas, porque el navegador hubiera sido demasiado fácil de piratear. Durante este tiempo ha ganado tecnologías sandboxing parciales y parece que se ha notado. Hubo dos intentos de hackeo y solo uno de ellos fue exitoso, un desbordamiento de enteros para acceder al núcleo de Windows y elevar los privilegios del sistema.

Pwn2Own 2017: Mejora de la seguridad global

Como sabes, ningún detalle técnico de la sucedido en la conferencia se hace público, porque todos los hacks exitosos y las vulnerabilidades descubiertas son comunicadas a las compañías afectadas para su parcheo.

El hackeo conseguido en este tipo de concursos no significan necesariamente que los usuarios estén expuestos a los ataques. Las vulnerabilidades suelen ser desconocidas y no explotables a corto plazo. Tiempo sobrado para que los proveedores puedan parchear su desarrollo. Especialmente Microsoft con Edge, para el que se espera una gran actualización con la nueva versión de Windows 10, Creators Update.

Fuente | muycomputer.com


Osniel Torres Alvarez

Seguidor del mundo de la Tecnología, siempre dispuesto a ayudar a todo el que lo necesite, me encanta el desarrollo web, seguidor de todos los productos de Microsoft, principalmente Windows...

5 commentarios

Dandee · 24 marzo, 2017 a las 8:26 am

Google Chrome es el navegador más seguro y más rápido del mundo. Con la propaganda que le dan a Firefox

Elton Nápoles Núñez · 23 marzo, 2017 a las 4:20 pm

Ha, vamos! De todos el Edge es el bebé con biberón, Es por ello que era algo seguro el que todos le partieran para encima, a eso súmesele lo poco popular de la Microsoft en este mundo.
En lo personal, yo le doy el beneficio de la duda a ver que pasa, no va mal encaminado hasta ahora.
No obstante, el core del concurso no está nada mal. Como idea… genial.
Saludos.

Maikel · 23 marzo, 2017 a las 9:18 am

Le fueron arriba al Edge, por la misma razon que a Win. Pero al final esto es bueno, le salen los problemas mas profundos y se los arreglan. El BountyHunt de algunas empresas dan bastante $$$ por esto.

yo (el primero) · 22 marzo, 2017 a las 9:20 am

si me imagino que lo ideal para que fuera una competencia justa es que a cada navegador le dedicaran el mismo tiempo, ahí si le sacan los colores al más débil

AleWiccan · 22 marzo, 2017 a las 8:30 am

No creo que Firefox fuera tan fácil de hakear, sino lo ubieran escogido para ganarse un premio…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *