Os programas de recompensa, voltados para aqueles que tiverem habilidades em detectar falhas relevantes em produtos oferecidos pelos mais conceituados fabricantes de software, tem se expandido cada vez mais. Nesse contexto, o Google ofereceu a quantia de 20.000 dólares para aquele que conseguisse realizar um ataque ao seu navegador Chrome, conseguindo também quebrar a proteção do sandbox. A área de segurança é total e fortemente projetada para evitar ataques em um sistema, quando um exploit for capaz de injetar e executar códigos maliciosos através de uma vulnerabilidade existente. A falha mais recente e semelhante encontrada no Chrome, foi fechada em meados do mês de janeiro deste ano - o desenvolvedor que descobriu a vulnerabilidade recebeu a quantia de U$ 3.133,7 por este feito.
Organizado pela Zero Day Initiative (ZDI), a equipe de pesquisadores de segurança da TippingPoint, o concurso Pwn2Own 2011 oferece mais $ 105.000 para falhas de segurança encontradas nos navegadores Internet Explorer, Safari e Mozilla Firefox, além de falhas detectadas no Windows Phone 7, no IOS da Apple, no BlackBerry 6 e no sistema móvel Android, que permitem que um código malicioso seja injetado e executado. As possíveis falhas que seriam encontradas na plataforma Symbian, foram retiradas do programa de vulnerabilidades este ano.
Pela primeira vez, os participantes também foram convidados à atacar potenciais brechas em módulos firmware sem fio. Muitas vezes chamado de "baseband", este hardware inclui componentes como transmissores e receptores GSM e UMTS, bem como moduladores e demoduladores, sendo implementados através de um processador especial. Os ataques são reveladores em relação à existência de falhas relevantes no firmware, por exemplo, na pilha GSM. Embora o pesquisador tenha requerido uma estação base GSM dedicada, o hardware necessário está disponível por menos de 2000 €, e o software (OpenBTS) é open source. Para o concurso em questão, este equipamento será fornecido pelos organizadores.
Na recente conferência Black Hat 2011, realizada em Arlington, VA, Ralf-Philipp Weinmann já fez uma demonstração de como utilizar os pacotes GSM criados especialmente para injetar código no processador de banda, e como executá-lo no mesmo lugar - independentemente do sistema operacional para smartphones que estiver sendo utilizado no dispositivo. Habitualmente, o concurso Pwn2Own, que reúne participantes com habilidades de hacker, ocorre durante a conferência de segurança CanSecWest 2011, que terá lugar nos dias 09, 10 e 11 de março deste ano, no Canadá. Os participante vencedores receberão o dispositivo ou computador que foi explorado com sucesso, além de um prêmio em dinheiro.
Para cada ataque bem-sucedido, a TippingPoint que é a principal patrocinadora do concurso, apresenta um relatório para o fabricante responsável pelo software, detalhando a vulnerabilidade encontrada e de que forma ela foi explorada. Os detalhes não são divulgados ao público, até que o fabricante tenha corrigido a vulnerabilidade. Para cada ataque bem-sucedido, patrocinar o concurso, a TippingPoint , fornece um relatório para o fornecedor o caso, detalhando a vulnerabilidade e como ela foi explorada.
Links de Interesse:
-DVLab
-CanSecWest 2011
-BlackHat 2011
-Pwn2Own 2011:Prêmio Extra para Detecção de Falhas no Chrome