Este evento se divide en un evento de 3 días de seguridad, donde los participantes intentan ganar acceso a una computadora, usualmente a través del navegador. Para la ocasión, los hackers tienen acceso a 3 máquinas (una con Windows, una Mac, y otra laptop con Linux. Inicialmente se empieza en un ambiente restringido, buscando vulnerabilidades en el sistema operativo. En los días siguientes, se abren las opciones hasta que, finalmente, en el tercer día (si es que alguna máquina sobrevive), entran en juego aplicaciones de terceros.
Este año, el primer día tras cinco minutos caía Safari. Lo izo Chaouki Bekrar, miembro del grupo formado por la empresa francesa VUPEN. La plataforma sobre la que se llevó acabo fue un Mac OS X Snow Leopard de 64bits, con todas las actualizaciones al día. El fallo encontrado les permitió embolsarse 15.000 dólares y el Mac Book Air que le proporcionaba la organización.
Apenas unas horas después le toco el turno a Internet Explorer 8, esta vez de la mano de Stephen Fewer, desarrollador de Metasploit. Fewer necesitó utilizar tres vulnerabilidades diferentes encadenadas para comprometer el Windows 7 SP1 de 64bits a través del navegador. Asín Stephen Fewer era el segundo en embolsarse 15.000 dólares y obtener portátil nuevo.
Al día siguiente tocó el turno del iPhone 4 y de Blackberry. Charlie Miller que ya en 2007 y 2009 logró vulnerar estos teléfonos, aprovechó un fallo en MobileSafari que le permitió capturar la agenda completa del dispositivo a través de la visualización de una web especialmente manipulada. La vulnerabilidad no afecta a la versión 4.3 de iOS debido a la inclusión que ha hecho Apple de ASLR en esta última versión.
En el caso de Blackberry, se llevó a acabo bajo una BlackBerry Torch 9800 con la versión de firmware 6.0.0.246. El trabajo lo llevó a cabo un grupo formado por tres personas: Vincenzo Iozzo, Willem Pinckaers y Ralf Philipp Weinmann .Este último ya logró comprometer el iPhone en el Pwn2Own del año anterior.
La noticia del evento fue que dos de los navegadores más usados como son Firefox y Chrome han salido indemnes de la cita anual. En parte porque corrigieron un gran número de vulnerabilidades justo antes del concurso.
No hay comentarios:
Publicar un comentario