• Pwn2Own 2011: Prêmio Extra para Detecção de Falhas no Chrome

    Os programas de recompensa, voltados para aqueles que tiverem habilidades em detectar falhas relevantes em produtos oferecidos pelos mais conceituados fabricantes de software, tem se expandido cada vez mais. Nesse contexto, o Google ofereceu a quantia de 20.000 dólares para aquele que conseguisse realizar um ataque ao seu navegador Chrome, conseguindo também quebrar a proteção do sandbox. A área de segurança é total e fortemente projetada para evitar ataques em um sistema, quando um exploit for capaz de injetar e executar códigos maliciosos através de uma vulnerabilidade existente. A falha mais recente e semelhante encontrada no Chrome, foi fechada em meados do mês de janeiro deste ano - o desenvolvedor que descobriu a vulnerabilidade recebeu a quantia de U$ 3.133,7 por este feito.

    Organizado pela Zero Day Initiative (ZDI), a equipe de pesquisadores de segurança da TippingPoint, o concurso Pwn2Own 2011 oferece mais $ 105.000 para falhas de segurança encontradas nos navegadores Internet Explorer, Safari e Mozilla Firefox, além de falhas detectadas no Windows Phone 7, no IOS da Apple, no BlackBerry 6 e no sistema móvel Android, que permitem que um código malicioso seja injetado e executado. As possíveis falhas que seriam encontradas na plataforma Symbian, foram retiradas do programa de vulnerabilidades este ano.

    Pela primeira vez, os participantes também foram convidados à atacar potenciais brechas em módulos firmware sem fio. Muitas vezes chamado de "baseband", este hardware inclui componentes como transmissores e receptores GSM e UMTS, bem como moduladores e demoduladores, sendo implementados através de um processador especial. Os ataques são reveladores em relação à existência de falhas relevantes no firmware, por exemplo, na pilha GSM. Embora o pesquisador tenha requerido uma estação base GSM dedicada, o hardware necessário está disponível por menos de 2000 €, e o software (OpenBTS) é open source. Para o concurso em questão, este equipamento será fornecido pelos organizadores.

    Na recente conferência Black Hat 2011, realizada em Arlington, VA, Ralf-Philipp Weinmann já fez uma demonstração de como utilizar os pacotes GSM criados especialmente para injetar código no processador de banda, e como executá-lo no mesmo lugar - independentemente do sistema operacional para smartphones que estiver sendo utilizado no dispositivo. Habitualmente, o concurso Pwn2Own, que reúne participantes com habilidades de hacker, ocorre durante a conferência de segurança CanSecWest 2011, que terá lugar nos dias 09, 10 e 11 de março deste ano, no Canadá. Os participante vencedores receberão o dispositivo ou computador que foi explorado com sucesso, além de um prêmio em dinheiro.

    Para cada ataque bem-sucedido, a TippingPoint que é a principal patrocinadora do concurso, apresenta um relatório para o fabricante responsável pelo software, detalhando a vulnerabilidade encontrada e de que forma ela foi explorada. Os detalhes não são divulgados ao público, até que o fabricante tenha corrigido a vulnerabilidade. Para cada ataque bem-sucedido, patrocinar o concurso, a TippingPoint , fornece um relatório para o fornecedor o caso, detalhando a vulnerabilidade e como ela foi explorada.


    Links de Interesse:

    -DVLab
    -CanSecWest 2011
    -BlackHat 2011
    -Pwn2Own 2011:Prêmio Extra para Detecção de Falhas no Chrome