Pwn2Own: Casi un millón de dólares en premios

Una vez más, la competencia Pwn2Own ha reunido a algunos de los expertos en seguridad más importantes del globo, con el objetivo de enfrentarlos a navegadores web y otros programas de alto nivel. Después de lo que fue un primer día récord en materia de premios, esta edición de Pwn2Own entregó un total de 850 mil dólares a los participantes. De más está decirlo, no dejaron títere con cabeza…

Ninguna compañía disfruta que alguien encuentre vulnerabilidades latentes en sus aplicaciones, pero si existe la posibilidad de descubrirlas en forma controlada, lo más lógico es aprovechar la situación. Los estímulos en efectivo mantienen ocupados a desarrolladores de todo el mundo, sin embargo, el Pwn2Own prácticamente se ha convertido en una parada obligatoria. La edición 2014 terminó ayer, y en sus dos días entregó 850 mil dólares en premios. El primer día fue particularmente llamativo, con 400 mil dólares repartidos entre la compañía francesa VUPEN, y otros dos expertos, Jüri Aedla y Mariusz Mlynski. De hecho, VUPEN se quedó con el 75 por ciento de esos 400 mil dólares, derribando a Adobe Flash, Adobe Reader, Internet Explorer, y Mozilla Firefox. El zorro de fuego fue el más golpeado durante el primer día, debido a que recibió la mitad de los ataques.

En el día 2, la competencia ganó más temperatura, y eventualmente, los ataques de los participantes lograron poner de rodillas a Google Chrome (en dos ocasiones) y al navegador Safari de Apple. Firefox sufrió una derrota adicional a manos de George Hotz (el mismo del hackeo al iPhone y la PlayStation 3). VUPEN fue responsable de uno de los ataques a Chrome (el otro estuvo a cargo de un participante anónimo), mientras que Sebastian Apelt y Andreas Schmidt hicieron lo suyo con Internet Explorer, al igual que Liang Chen con Flash y Safari, y Zeguang Zhou, quien también logró ejecutar código a través de Flash. La suma de los premios en el segundo día se elevó a 450 mil dólares, sin contar el valor de las portátiles (después de todo, es Pwn2Own), y las donaciones que se realizaron en Pwn4Fun, donde participaron Google y el equipo ZDI de Hewlett-Packard. Google presentó un exploit en Safari que permite ejecutar la calculadora como root bajo OS X, y ZDI logró algo similar en Internet Explorer.

Donde no se registraron entradas fue en el desafío conocido como “Exploit Unicorn”, en el cual se debía realizar un ataque a Internet Explorer sobre Windows 8.1 x64 con la función EMET (Enhanced Mitigation Experience Toolkit) activada, siguiendo una secuencia específica. A pesar de que había 150 mil dólares para quien lo lograra, no llamó la atención de los expertos, quienes prefirieron enfocar sus recursos sobre otros programas. Los organizadores destacaron la calidad de los exploits, e indicaron que los participantes solamente necesitaron “menos de cinco minutos” para ejecutarlos. Todas las vulnerabilidades han sido reportadas a los desarrolladores, por lo que esperamos varios parches en el corto plazo.