En los concursos de Pwn2Own
y Pwnium de la conferencia CanSecWest anual en Vancouver, los investigadores de seguridad han ganado
más de un millón de dólares en premios, exponiendo 34 graves defectos de día
cero en el código popular, y recaudaron más de $ 82,000 para la Cruz Roja
Canadiense.
En cada una de las
competiciones de Pwn2Own y Pwnium, los concursantes se enfrentan al reto de
explotar vulnerabilidades en el software supuestamente seguro para ejecutar código
malicioso - y salir con dinero en efectivo si sus ataques son demostrados con
éxito en el escenario. Las técnicas utilizadas para poseer un programa se dan a
conocer en privado para que los bugs agraciados se pueden arreglar.
En la competición Pwn2Own HP TippingPoint los
investigadores se anotaron 850.000 dólares, ya que los principales navegadores
( Chrome, Safari, Internet Explorer y Firefox ), cayeron en los ataques en el plazo de 30
minutos para cada uno, junto con Flash.
Sólo Java aguantó a los
ataques limitados en el tiempo, aunque los investigadores trataron de descifrar
el código de Oracle con algunas técnicas
interesantes vieron que les iba a llevar demasiado tiempo.
Brian Gorenc, gerente
de investigación de vulnerabilidades para la Zero Day Initiative de HP dijo :
"Esquemas de
recompensas de errores como Pwn2Own son realmente sólo una extensión de las pruebas de software
adecuado."
"Se trata de
permitir la ejecución de software independiente calificado para poder
recoger los resultados, que permitan detectar fallas que se deslizaban a
través del control de calidad de prueba. Vale la pena el dinero del
premio."
Mientras tanto, en la
competencia cuarta Pwnium de Google, una cooki experta rompió el Chrome OS que
se ejecuta en un sistema HP Chromebook 11, ganándose $ 150.000 y el portátil
intervenido . Otro investigador también recibirá un premio menor de Google por
sus esfuerzos.
También hubo una
divertida competencia entre Google y HP, apodado Pwn4Fun, que recaudó $ 82,500
para la Cruz Roja Canadiense y expuso algunos defectos importantes. Gorenc dijo
que el personal en Google encontró seis vulnerabilidades de día cero en el
código de Microsoft, así como una cuestión de kernel en iOS de Apple.
Fuente: The Register