La demanda de software cada vez más seguro o al menos con mayor grado de blindaje ante posibles explotaciones de vulnerabilidades, se está convirtiendo en un hecho sumamente exigente. No podemos decir que las buenas prácticas para desarrollar software seguro sean las mejores hoy día, pero sí es de reconocerse que se ha tomando conciencia de que la seguridad ya no es un factor para considerar en segundo término.
Inclusive se puede pensar que grandes compañías que por su magnitud mueven grandes cantidades de dinero y datos, pueden darse la libertar de invertir en software seguro o investigación para el mismo. Pero la verdad no es así. Son muy pocas las compañías que invierten por iniciativa propia.
Eventos como CanSecWest conference son los puntos de concentración de expertos en materia de seguridad quienes siguen de cerca cada línea de código, cada parche de seguridad, cada nuevo aditamento y cada actualización dentro de todo aquello que conocemos o usamos de software en nuestras vidas diarias. Llámese un sistema operativo (Windows, Mac OSX, Linux, Unix), un navegador de Internet (Internet Explorer, Firefox, Chrome, Safari) o cualquier otra pieza de software de uso común.
Dentro de CanSecWest con sede en Vancouver, British Columbia, se lleva a cabo un evento llamado Pwn2Own patrocinado esta ocasión por Hewlett-Packard y Google. Este concurso permite participar a equipos de desarrolladores o participantes por cuenta propia.
Para Pwn2Own se tiene como objetivo conseguir puntajes a base de hackeos en los 4 navegadores de Internet más populares:
Internet Explorer de Microsoft
Firefox de Mozilla
Safari de Apple
Chrome de Google
Se trata de encontrar vulnerabilidades o bugs 0day (sin ser conocidos públicamente) y otros basados en parches de seguridad aplicados en años anteriores y asimismo la combinación de vulnerabilidades del mismo navegador y el sistema operativo u otra pieza de software como Flash, Java, etc.
El mayor puntaje es de 32 puntos al conseguir un 0day, los demás tipos de vulnerabilidades tienen un puntaje de 10, 9 y 8 puntos disminuyendo un punto por día (7, 8 y 9 de marzo) para efectos de evitar empates. Las computadoras que tienen estos navegadores son equipos con Windows y Mac OSX corriendo las últimas versiones de sus sistemas operativos y los últimos parches de seguridad. Al terminar el concurso las computadoras también serán parte del premio.
Los premios (por parte de HP) para el mayor puntaje son de USD$60,000 para el primero, USD$30,000 para el segundo y USD$15,000 para el tercero. Con respecto a Google ofrecerá USD$20,000 a quien jaqueé directamente un bug en Chrome y USD$10,000 con ayuda de algún error de software de terceros.
Por su puesto hay reglas que respetar durante el hackeo, es decir si consiguen comprometer al navegador para que ejecute código arbitrario no debe conseguirse a base de únicamente software de terceros. Ni tampoco comentar ni revelar nada al respecto de las fallas encontradas en el software vulnerable.
Por el momento el equipo de VUPEN Security ya se ha ganado sus primeros USD$60,000 al encontrar una vulnerabilidad 0day en Google Chrome durante los primeros 5 minutos del arranque del concurso.
Inclusive se puede pensar que grandes compañías que por su magnitud mueven grandes cantidades de dinero y datos, pueden darse la libertar de invertir en software seguro o investigación para el mismo. Pero la verdad no es así. Son muy pocas las compañías que invierten por iniciativa propia.
Eventos como CanSecWest conference son los puntos de concentración de expertos en materia de seguridad quienes siguen de cerca cada línea de código, cada parche de seguridad, cada nuevo aditamento y cada actualización dentro de todo aquello que conocemos o usamos de software en nuestras vidas diarias. Llámese un sistema operativo (Windows, Mac OSX, Linux, Unix), un navegador de Internet (Internet Explorer, Firefox, Chrome, Safari) o cualquier otra pieza de software de uso común.
Dentro de CanSecWest con sede en Vancouver, British Columbia, se lleva a cabo un evento llamado Pwn2Own patrocinado esta ocasión por Hewlett-Packard y Google. Este concurso permite participar a equipos de desarrolladores o participantes por cuenta propia.
Para Pwn2Own se tiene como objetivo conseguir puntajes a base de hackeos en los 4 navegadores de Internet más populares:
Internet Explorer de Microsoft
Firefox de Mozilla
Safari de Apple
Chrome de Google
Se trata de encontrar vulnerabilidades o bugs 0day (sin ser conocidos públicamente) y otros basados en parches de seguridad aplicados en años anteriores y asimismo la combinación de vulnerabilidades del mismo navegador y el sistema operativo u otra pieza de software como Flash, Java, etc.
El mayor puntaje es de 32 puntos al conseguir un 0day, los demás tipos de vulnerabilidades tienen un puntaje de 10, 9 y 8 puntos disminuyendo un punto por día (7, 8 y 9 de marzo) para efectos de evitar empates. Las computadoras que tienen estos navegadores son equipos con Windows y Mac OSX corriendo las últimas versiones de sus sistemas operativos y los últimos parches de seguridad. Al terminar el concurso las computadoras también serán parte del premio.
Los premios (por parte de HP) para el mayor puntaje son de USD$60,000 para el primero, USD$30,000 para el segundo y USD$15,000 para el tercero. Con respecto a Google ofrecerá USD$20,000 a quien jaqueé directamente un bug en Chrome y USD$10,000 con ayuda de algún error de software de terceros.
Por su puesto hay reglas que respetar durante el hackeo, es decir si consiguen comprometer al navegador para que ejecute código arbitrario no debe conseguirse a base de únicamente software de terceros. Ni tampoco comentar ni revelar nada al respecto de las fallas encontradas en el software vulnerable.
Por el momento el equipo de VUPEN Security ya se ha ganado sus primeros USD$60,000 al encontrar una vulnerabilidad 0day en Google Chrome durante los primeros 5 minutos del arranque del concurso.
Fuente: Pwn2Own 2012
No hay comentarios.:
Publicar un comentario