Cada año, expertos en seguridad se reúnen para poner a prueba la seguridad del software más extendido en el mercado. Estos son los resultados de este año.
Desde el 2007, en la CanSecWest security conference, se realiza una competencia muy particular. Los participantes tienen una misión: Vulnerar los paquetes de software y dispositivos más usados del mercado con exploits Zero Day, es decir, vulnerabilidades, hasta la fecha, desconocidas.
Generalmente, se reúnen equipos encargados de poner a prueba los dispositivos o el software, y quienes logren vulnerarlo se llevan una no despreciable cantidad de dinero. Este año, el premio ascendió a los $460,000 por encontrar 21 vulnerabilidades en los navegadores más usado y los sistemas operativos más importantes.
Este año, Firefox no participó ya que no se hicieron cambios importantes a nivel de seguridad, al igual que Linux. Sin embargo, Windows y OS X si participaron y ocurrió algo que jamás había ocurrido en esta competencia: Todos los ataques exitosos obtuvieron privilegios de Root/System.
De los tres navegadores participantes Chrome fue el que salió mejor parado, pues de tres intentos de intrusión solo uno fue exitoso y la vulnerabilidad explotada ya había sido reportada de manera privada a Google. El resto de los navegadores sucumbieron completamente a las tácticas de los competidores, con dos intentos de intrusión para Edge de los cuales todos resultaron exitosos y tres para Safari, igualmente, todos exitosos.
Adicionalmente se encontraron cuatro vulnerabilidades nuevas en el ya casi difunto Flash, aunque aún es usado en muchos sitios. Seis nuevas vulnerabilidades en Windows y cinco en OS X se sumaron a la lista de hallazgos de la jornada.
Este año se realizaron un total de 11 ataques, perpetrados por 5 equipos. La lista de los equipos y de cuantos ataques exitosos tuvieron se encuentra a continuación:
- Tencent Security Team Sniper (KeenLab and PC Manager): 3/3
- 360Vulcan Team: 1.5/2
- JungHoon Lee (lokihardt): 2/3
- Tencent Security Team Shield (PC Manager and KeenLab): 1/2
- Tencent Xuanwu Lab: 0/1
La lista de vulnerablidades encontradas es la siguiente:
En un mundo donde cada vez estamos más conectados, este tipo de iniciativas, a igual que Project Zero de Google, tiene como objetivo mejorar la seguridad de nuestra navegación, haciendo nuestros sistemas más seguros y confiables y permitiendo que los fabricantes arreglen cada vez más rápidamente los fallos en sus productos y servicios.
Los hackers siempre van a encontrar la manera de irrumpir en los sistemas. El objetivo de estas competencias y estas iniciativas es hacerles el trabajo lo más difícil posible.
Si tienes curiosidad, aquí te dejamos dos videos con el resumen de las pruebas realizadas en los dos días que duró la competencia.
Día 1
Día 2
Fuente: Venture Beat