Pwn2Own 2011: IE, Safari, iPhone y BlackBerry

La conferencia CanSecWest que se lleva a cabo en la ciudad de Vancouver es una vez más el hogar para la famosa competencia Pwn2Own, donde expertos en seguridad pueden poner a prueba sus habilidades frente a las últimas versiones disponibles de diferentes navegadores web, ejecutándose en ordenadores y plataformas móviles. Han pasado dos días sobre un total de tres, pero los resultados ya están dando la vuelta al mundo, y en cuanto a las víctimas de esta vez, bueno… están en el título.

Semanas enteras de entrenamiento y preparación, desarrolladores que lanzan parches de último momento, premios en efectivo, y por supuesto, la plataforma derrotada como botín de guerra. De eso se trata Pwn2Own. Los mejores exponentes en materia de seguridad informática se reúnen una vez al año para enfrentarse a los más importantes navegadores web, ejecutándose tanto en ordenadores convencionales como en dispositivos móviles al estilo de smartphones. La competencia se lleva a cabo desde el año 2007, y ha ganado relevancia en los medios debido a lo rápidas que fueron algunas victorias, además del hecho de que el ganador se puede llevar el hardware que ejecutaba al navegador vencido.

En esta edición 2011, sobre la categoría que abarca a ordenadores, fueron derrotados Apple Safari en su versión 5.0.4, e Internet Explorer 8 bajo Windows 7. En el caso de Safari, su resistencia duró apenas cinco segundos frente a las habilidades del grupo francés VUPEN. Apple corrigió 59 vulnerabilidades en el navegador antes de la competencia, y también adelantó la actualización del sistema iOS, pero quedó en claro que no fue suficiente, y VUPEN se llevó la Macbook Air de trece pulgadas además del dinero. En cuanto a Internet Explorer 8, la victoria fue para Stephen Fewer, un investigador independiente de origen irlandés. Todos coinciden en que el logro de Fewer fue el más espectacular de todos, ya que combinó tres vulnerabilidades diferentes para romper el cerco de la “caja de arena” de Internet Explorer 8, también conocida como Modo Protegido. Fewer se fue con quince mil dólares de premio, y una portátil Sony Vaio bajo el brazo.

Entre los móviles, el iPhone 4 y el BlackBerry Torch 9800 debieron rendirse también. Charlie Miller (ahora tetracampeón en Pwn2Own) acompañado por Dion Blazakis, hizo papilla a un iPhone 4 completamente actualizado en pocos segundos, mientras que un equipo compuesto por tres investigadores de diferentes nacionalidades le dieron una paliza similar al Torch. Aquellas plataformas que sobrevivieron, sólo lo hicieron porque no fueron desafiadas. Google Chrome logra mantener así un invicto de tres años, y el equipo que iba a enfrentar a Firefox debió retirarse por problemas en la aplicación de su “exploit”. Windows Phone 7 bajo un Dell Venue Pro y Google Android en un Nexus S, tampoco fueron puestos a prueba. Hoy es el último día del Pwn2Own, y no se esperan desafíos adicionales, pero dos días fueron suficientes para comprobar que los sospechosos de siempre, todavía tienen trabajo por hacer.