Pwn2Own 2017 es un concurso de hackeo que cumple precisamente 10 años de realizarse. Ahora se está ofreciendo 1 millón de dólares para los investigadores de seguridad los cuales puedan, de alguna manera, encontrar fallas en los sistemas como máquinas virtuales, servidores, aplicaciones empresariales y navegadores web.
En la última década este evento ha sido uno de los más importantes pues los hackers e investigadores de software han hallado agujeros de seguridad, problemas en diversos programas que bien podrían comprometer la seguridad de los datos de los usuarios. Para este décimo aniversario, ZDI, quien es operada por su propietaria Trend Micro, ha ido más lejos que antes y ofrece más premios en metálico para quienes puedan explotar errores en los sistemas.
HPE vendió su división TippingPoint, que incluye a ZDI, por 300 millones, a Trend Micro en el 2016. En el evento Pwn2Own de ese año, que fue patrocinado por ambas empresas, se dieron unos 460 mil dólares a los investigadores que encontraron unas 21 vulnerabilidades de los sistemas estudiados.
En este concurso del 2017, que se llevará a cabo en Vancouver, Canadá, del 15 al 17 de marzo, será patrocinado por Trend Micro y en esta ocasión no se enfocará en los exploits que puedan encontrarse en los navegadores web.
Entre los objetivos este año están las máquinas virtuales, incluyendo VMWare y los sistemas de Microsoft Hyper V. Los investigadores necesitarán ejecutar el hipervisor de virtualización de la máquina para correr código arbitrario en el sistema operativo del que se trate. ZDI pagara 100 mil dólares de recompensa al investigador en seguridad que sea capaz de manipular la máquina virtual.
“Esperemos que Pwn2Own pueda hacer que los investigadores estén alertas sobre las vulnerabilidades que pueden presentarse en las máquinas virtuales”, dice Brian Gorenc de Trend Micro.
En los últimos años Pwn2Own se ha enfocado en Mac OS X y Windows, pero en este 2017 Linux será parte del concurso, específicamente en lo que se refiere a Ubuntu 16.10. Los investigadores que logren encontrar exploits para Linux se llevarán 15 mil dólares si pueden sacar provecho de algún problema en el kérnel para escalar privilegios. Lo mismo para Windows, en donde cada investigador podrá llevarse hasta 30 mil dólares. En el caso del sistema operativo de Mac, la recompensa es de 20 mil dólares.
Por lo que se refiere a exploits del lado del servidor, ZDI dará una recompensa a quien encuentre algún bug explotable en el servidor web Apache corriendo en Ubuntu 16.10. El dinero en juego llega a 230 mil dólares.
Por lo que se refiere a los navegadores web, que no son ahora el tema principal de la conferencia, de todas maneras tienen una sección abierta a quien encuentre bugs explotables tanto en Edge (Microsoft) y Google Chrome. Cada bug podría dar una recompensa de 80 mi dólares. Si se encuentra un problema de seguridad en Safari, de Apple, quien así lo hiciese podría llevarse unos 50 mil dólares de recompensa.
Firefox (Mozilla), regresa a este evento después de que no haber estado en el 2016. Un bug explotable en Firefox podría dar de recompensa hasta 30 mil dólares. “Mozilla ha mejorado su seguridad de forma que esto garantiza su re-integración en este concurso”, dice Gorenc.
Además, Pnw2Own 2017 dará 50 mil dólares a cada bug explotable de Adobe Reader, Microsoft Word, Excel y PowerPoint. Este es el concurso que ha dado más dinero desde la existencia del mismo, que inició hace diez años.
“Sabemos que sería genial vivir en un mundo con seguridad perfecta, pero sabremos que esto no es realmente práctico”, dijo Gorenc. “Mucha investigación del más alto nivel se ha desarrollado en este concurso y en consecuencia tenemos seguridad mejorada para todos”, agregó.
Referencias: eWeek