CanSecWest 2008 es una conferencia sobre seguridad digital en la práctica, celebrada en Canadá, que reúne a los mejores grupos y empresas de seguridad informática del mundo. Entre otros interesantes eventos, el que mayor atención recaba es el concurso Pwn2Own. El objetivo es usar un 0day exploit sobre cualquiera de las 3 máquinas en juego:
- VAIO VGN-TZ37CN ejecutando Ubuntu 7.10
- Fujitsu U810 corriendo Vista Ultimate SP1
- MacBook Air usando OSX 10.5.2
Los sistemas vienen instalados con lo justo: lo que «trae el CD» del sistema, instalación por defecto. Son 3 días en los que los mejores equipos de hackers del mundo (en el buen y mal sentido de la palabra 😉 intentan darle candela a esos sistemas. El que primero consiga leer el contenido de un fichero que la organización indica, gana el concurso. Premios: ¡fama! y el portátil que hayan conseguido hackear. Para el primero además, hay un plus de 10.000 dólares y para el segundo $5.000. ¿No está mal, eh? Eso sí, a cambio de ese dinero, la Zero Day Initiative (patrocinadores del evento) les compra los derechos de los exploits 😉 (avisando al fabricante del bug…)
El primer día sólo permiten ataques de red. Los 3 sistemas resistieron como campeones. El segundo día, para facilitar las cosas, permitieron que los atacantes facilitaran a la organización direcciones web que los organizadores visitarían usando el navegador instalado en el portátil. Aquí es donde cayó el primer sistema: MacOSX, debido a una vulnerabilidad (por ahora mantenida bajo secreto por la organización) en el navegador Safari. $10.000 y un precioso Mac Air para Charlie Miller de Independent Security Evaluators (foto de la izquierda). El segundo día no cayó ningún otro sistema. El tercer día quedaban sólo por tanto, Ubuntu Linux y Windows Vista. Los organizadores procedieron a facilitar un poco el concurso, instalando aplicaciones «populares» en ambos sistemas. Una de esas aplicaciones fue el plugin de Flash. Y ahí es donde Shane Macaulay de Security Objectives, junto a sus compañeros Alexander Sotirov y Derek Callaway, se llevaron el Fujitsu y 5.000 petrodólares.