El desafió de Hacking <strong>PWN to OWN</strong> celebrado durante la conferencia de seguridad de <strong>CanSecWest</strong>, ha finalizado ayer (28 de Marzo) luego de tres días de intensa acción, con dos caídos en batalla.
<p>Tanto <strong>Mac OS X</strong> como <strong>Windows Vista</strong>
no toleraron los ataques en el segundo y tercer día respectivamente,
cuyas vulnerabilidades aún no han sido reveladas pero algunos detalles
ya se conocen.</p>
<p>Durante el primer día del evento, los tres sistemas permanecieron
intactos, dado que las reglas eran más bien estrictas y dificultaron
que los participantes vulneraran alguno de estos.</p>
<p>Una vez terminado el primer día, se comunicaron nuevas reglas para
el segundo, en donde ya se podría atacar las aplicaciones instaladas
por defecto en los sistemas (desde clientes de correo, vulnerabilidades
en navegadores al visitar una página, clientes de mensajería, entre
otros).</p>
<p>El segundo día fue crítico para la <strong>Apple Mac Book Air</strong>,
que cayó primero en batalla, de la mano de Charlie Miller, Jake
Honoroff y Mark Daniel (de Independent Security Evaluators).
Aparentemente habrían aprovechado una vulnerabilidad en el navegador de
Apple, Safari (aunque no se han dado a conocer más detalles).</p>
<p>El tercer día llegó, el día final… a ver quien toleraba pasar el evento sin caer, y fue <strong>Windows Vista</strong>
quien terminó en segundo lugar, cayendo en las manos de Shane Macaulay
(de Security Objectives), comprometiendo una Fujitsu U810 corriendo <strong>Windows Vista Ultimate SP1</strong>.
La vulnerabilidad explotada tiene como responsable al Flash de Adobe,
por lo que de momento no se conoce más que el simple hecho de que su
desarrollador ha sido informado en forma confidencial.</p>
<p>Cabe resaltar que durante el tercer día, ya se permitió ampliar el
espectro de aplicaciones a algunas populares de terceros, por lo que la
posibilidad de hacerse con el sistema era mucho mayor que en los dos
días anteriores.</p>
<p>Finalmente, la portátil <strong>Sony Vaio</strong> corriendo <strong>Ubuntu</strong>
fue la victoriosa del evento, dado que nadie pudo explotar una
vulnerabilidad de forma satisfactoria en ninguno de los tres días del
evento.</p>
<p>Podríamos sacar conclusiones rápidas y desmedidas que un sistema es
más seguro que otro, pero en realidad no es el objetivo -principal- de
este tipo de concursos (aunque bien causan una mala imagen para tanto
Apple como Microsoft), ya que gracias a los resultados, permiten
informarle de forma segura a sus desarrolladores para que arreglen las
vulnerabilidades.<br>
Según la gente de Linux World, algunos de los participantes conocían
algunas vulnerabilidades (no reportadas) para comprometer la máquina
con Ubuntu, pero ninguno se sentó a desarrollar el <em>exploit</em> necesario para hacerlo (¿respeto quizás?, nunca lo sabremos).</p><p><br></p><p>Vía Techtear.</p><p>Saludos,</p><p><br></p><p>Alan Karpovsky<br></p><p><br>
</p>