Friday, March 26, 2010

Pwn2Own 2010 - situação até o momento

Na edição de 2010 do já tradicional concurso de hackers Pwn2Own, bastou o primeiro dia (na verdade os primeiros minutos apenas) para que a segurança no iPhone e no Safari em um Mac caíssem por terra, assim como aconteceu também com o Internet Explorer 8 e o Firefox, ambos no Windows 7.



O iPhone foi hackeado pela dupla formada por Vincenzo Iozzo e Ralf-Philipp Weinmann — este último conhecido por ter feito parte da equipe de três homens que em 2007 demonstrou como quebrar o protocolo WEP de segurança de redes Wi-Fi em um tempo muito menor do que era possível anteriormente. Levou menos de cinco minutos para que os dois explorassem uma brecha de segurança e invadissem o iPhone (sem jailbreak). Pelo feito, a dupla voltou pra casa US$ 15 mil mais rica. Eles criaram um exploit que permite capturar o banco de dados de SMS do iPhone – incluindo mensagens deletadas – com uma simples visita a um website. O exploit poderia ser usado também para capturar a lista de contatos, o banco de dados de e-mail, as fotos e os arquivos de áudio do iTunes armazenados no telefone, diz Weinmann. Tudo com uma simples visita do usuário ao site malicioso, sem nem mesmo precisar sair do sandbox do iPhone.




O hacker Peter Vreugdenhil conseguiu explorar uma vulnerabilidade no Internet Explorer 8 rodando no Windows 7 com um ataque que a TippingPoint (que organiza e financia o evento) definiu como “tecnicamente impressionante”. Ele conseguiu contornar o sistema de prevenção de execução de dados do Windows 7 (Data Execution Prevention, ou DEP) e assim ganhou o prêmio de US$ 10 mil. O pessoal do site PenTestIT detalha como foi feito o exploit.

O único navegador que foi definido como alvo dos ataques no concurso e não foi (até o momento) derrubado foi o Google Chrome. Pelo menos ao primeiro dia de ataques ele resistiu bravamente.



Só uma curiosidade: WTF Pwn2Own mean? Simples: pewn to own. Pewn significa derrotar ou bater em alguém...


No comments:

Post a Comment