A CanSecWest é um evento anual de segurança conhecido pela competição Pwn2Own, onde durante três dias hackers tentam invadir computadores através de falhas nos navegadores ou no sistema operacional (Windows, Linux ou Mac OS X).
No primeiro dia os navegadores Internet Explorer, Chrome e Firefox foram invadidos.
O Internet Explorer 10 foi hackeado pela VUPEN Security que utilizou duas falhas 0-day do navegador que burlaram o sandbox e permitiram invadir o Windows 8.
O Chrome 25 foi hackeado pela MWR Labs, que utilizou múltiplas falhas do navegador e uma falha do kernel do Windows 7 que permitiu invadir o computador ao navegar em uma página web maliciosa.
O Firefox 19 também foi hackeado pela VUPEN utilizando uma falha que burlou a proteção ASLR/DEP do Windows 7
O Safari não foi invadido, pois nenhum hacker se interessou em hackeá-lo.
Além disso, o Java foi invadido inicialmente três vezes por três times distintos de hackers, mostrando que ele continua sendo muito vulnerável.
O Flash Player resistiu bravamente às tentativas de invasão, porém, mais tarde foi hackeado juntamente com o Adobe Reader e o Java (pela quarta vez).
Os smartphones iPhone 4S e Samsung Galaxy SIII/S3 também foram hackeados durante a competição de dispositivos móveis. A vulnerabilidade do WebKit utilizada para invadir o iPhone também está presente no iOS 6, e o hacker informou que o iPhone 5, iPad e iPod touch também estão vulneráveis.
O Galaxy SIII/S3 rodando Android 4.0.4 foi invadido através de duas vulnerabilidades no NFC (Near Field Communication), permitindo que os hackers tivessem acesso aos emails, SMS, contatos, agenda, galeria de fotos e várias outras informações.
As regras do evento são claras: os computadores devem estar configurados com as opções padrão, que são utilizadas pela imensa maioria dos internautas, e as vulnerabilidades utilizadas para a invasão devem ser desconhecidas.
Além do desafio, os hackers ganham um polpudo prêmio com a invasão:
US$ 100 mil para quem hackear o Google Chrome no Windows 7
US$ 100 mil para quem hackear o IE 10 no Windows 8
US$ 75 mil para quem hackear o IE 9 no Windows 7
US$ 65 mil para quem hackear o Safari no Mac OS X Mountain Lion
US$ 60 mil para quem hackear o Firefox no Windows 7
Um lado positivo do evento é que as vulnerabilidades utilizadas são reportadas para as empresas desenvolvedoras dos produtos para que elas possam corrigi-las.
Fonte: Baboo
Nenhum comentário:
Postar um comentário