Hora de cambiar el navegador en la empresa
Pwn2Own 2011
Este marzo se ejecuto la 5ta versión de Pwn2Own, un evento organizado con la finalidad atraer investigadores de la seguridad, hackers eticos y cualquiera que crea poder probar su habilidad en seguridad tratando de obtener acceso a distintos sistemas mediante ataques no conocidos o documentados.
El evento recibe su nombre ya que, como sus organizadores de CanSecWest explican, ”Si se puede ejecutar código arbitrario (PWN) en los ordenadores portátiles o teléfonos móviles a través de un navegador (Firefox, IE, Safari) usando una vulnerabilidad no divulgada previamente, puede llevarse el computador a casa (OWN)” junto a una remuneración economica muy buena.
Pwn2Own es auspiciada nada menos que por HP, los propietarios de la Zero Day Initiative de TippingPoint (ZDI). ZDI es un programa que paga por las vulnerabilidades, favoreciendo así a los cazadores de errores de forma que los resultados sirvan para retro alimentar a la comunidad de seguridad en lugar de venderse a los ciberdelincuentes. Pwn2Own añade algo de competitividad abierta en el negocio de la búsqueda de errores!
En esta edición como en otras los resultados fueron muy interesantes y nos permiten replantear en las estrategias y estándares en nuestras organizaciones ya que nuevamente se demuestra la inseguridad de los programas con los que trabajamos diariamente.
Resultados
- Entre los navegadores que se probaron, puedes encontrar Safari en el iPhone,Safari 4 para Mac Os X, Mozilla Firefox 3 e Internet Explorer 8 en Windows 7 y Chrome. de estos:
- Los investigadores de seguridad Vincenzo Iozzo y Ralf Philipp Weinmann lograron “hackear” la protección del iPhone a través de Safari en sólo 20 segundos. Para ello se utiliza un exploit que se integra en una página web y, al abrir esta página, el hacker puede enviar a un servidor remoto todos los mensajes de texto en la memoria del dispositivo.
- Para IE8 y Firefox 3 en Windows 7, un hacker, utilizo exploits diferentes que permiten al intruso de circunvalación, en ambos casos de ASLR y la protección DEP, permitiendo ejecutar código sin restricción.
- El único navegador que no ha sucumbido a los esfuerzos de los profesionales es Google Chrome 4, pese a que Google ofreció 20.000 dolares adicionales a quien lo conquiste. Dijeron que es debido a su arquitectura basada en caja de arena -Sandbox- que impide la ejecución de código que permitiría cambiar el sistema, o acceder a datos sensibles.
Conclusión
Son ya cinco los eventos Pwn2Own realizados por HP, y en estos siempre los primeros en ser hackeados son los sistemas operativos Windows y Apple y en el caso de los navegadores son Internet Explorer y Safari, esto deberia llevarnos a considerar si es realmente una buena estrategia mantener, en especial estos navegadores en nuestras organizaciones.
Por los resultados presentados en este evento, se puede pensar que Google es la empresa que tiene mas clara la estrategia de seguridad respecto a su navegador y no olvidemos que actualmente la forma mas sencilla de violentar la seguridad de su empresa y obtener acceso a información es sin duda atacando al usuario final mediante del navegador.
Referencias:
- Ducklin, P., 2011. PWN2OWN – Apple v. Google v. Microsoft v. Mozilla v. BlackBerry! | Naked Security. nakedsecurity.sophos.com, p.1. Available at: http://nakedsecurity.sophos.com/2011/03/14/pwn2own-2011-results/ [Accessed March 26, 2011].
- Partnoy, A., 2011. Announcing pwn2own 2011. DVabs Tippingpoint, p.1. Available at: http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011 [Accessed March 26, 2011].
- Naraine, R., 2011. Pwn2Own 2011: Google offering $20,000 for Chrome sandbox exploit | ZDNet. Zdnet Security Blog, p.1. Available at: http://www.zdnet.com/blog/security/pwn2own-2011-google-offering-20000-for-chrome-sandbox-exploit/8051 [Accessed March 26, 2011].