[ubuntu-ar] Y el pingüino salió victorioso

[Alan Karpovsky]

El desafió de Hacking *PWN to OWN* celebrado durante la conferencia de
seguridad de *CanSecWest*, ha finalizado ayer (28 de Marzo) luego de tres
días de intensa acción, con dos caídos en batalla.

Tanto *Mac OS X* como *Windows Vista* no toleraron los ataques en el segundo
y tercer día respectivamente, cuyas vulnerabilidades aún no han sido
reveladas pero algunos detalles ya se conocen.

Durante el primer día del evento, los tres sistemas permanecieron intactos,
dado que las reglas eran más bien estrictas y dificultaron que los
participantes vulneraran alguno de estos.

Una vez terminado el primer día, se comunicaron nuevas reglas para el
segundo, en donde ya se podría atacar las aplicaciones instaladas por
defecto en los sistemas (desde clientes de correo, vulnerabilidades en
navegadores al visitar una página, clientes de mensajería, entre otros).

El segundo día fue crítico para la *Apple Mac Book Air*, que cayó primero en
batalla, de la mano de Charlie Miller, Jake Honoroff y Mark Daniel (de
Independent Security Evaluators). Aparentemente habrían aprovechado una
vulnerabilidad en el navegador de Apple, Safari (aunque no se han dado a
conocer más detalles).

El tercer día llegó, el día final… a ver quien toleraba pasar el evento sin
caer, y fue *Windows Vista* quien terminó en segundo lugar, cayendo en las
manos de Shane Macaulay (de Security Objectives), comprometiendo una Fujitsu
U810 corriendo *Windows Vista Ultimate SP1*. La vulnerabilidad explotada
tiene como responsable al Flash de Adobe, por lo que de momento no se conoce
más que el simple hecho de que su desarrollador ha sido informado en forma
confidencial.

Cabe resaltar que durante el tercer día, ya se permitió ampliar el espectro
de aplicaciones a algunas populares de terceros, por lo que la posibilidad
de hacerse con el sistema era mucho mayor que en los dos días anteriores.

Finalmente, la portátil *Sony Vaio* corriendo *Ubuntu* fue la victoriosa del
evento, dado que nadie pudo explotar una vulnerabilidad de forma
satisfactoria en ninguno de los tres días del evento.

Podríamos sacar conclusiones rápidas y desmedidas que un sistema es más
seguro que otro, pero en realidad no es el objetivo -principal- de este tipo
de concursos (aunque bien causan una mala imagen para tanto Apple como
Microsoft), ya que gracias a los resultados, permiten informarle de forma
segura a sus desarrolladores para que arreglen las vulnerabilidades.
Según la gente de Linux World, algunos de los participantes conocían algunas
vulnerabilidades (no reportadas) para comprometer la máquina con Ubuntu,
pero ninguno se sentó a desarrollar el *exploit* necesario para hacerlo
(¿respeto quizás?, nunca lo sabremos).


Vía Techtear.

Saludos,


Alan Karpovsky
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ar/attachments/20080329/cae87a9f/attachment-0001.htm