El glorioso y altamente quemacocos torneo Pwn2Own lleva 6 años entregando premios a cambio de la capacidad de los expertos en seguridad (aunque yo les diría, expertos en inseguridad) en el marco de las conferencias CanSecWest. La idea siempre ha rondado los mismos desafíos: Un ordenador con Windows 7 (y anteriores, en las primeras), todos los parches existentes hasta ese momento y los navegadores más utilizados (según la edición de la conferencia), como Chrome, Firefox e Internet Explorer, aunque también Safari y Opera. Como informamos en su momento, las cosas para Internet Explorer y Safari tuvieron resultados ambiguos, pues si bien los explotaron en sólo unos cuantos intentos, ambas compañías se fueron con buenos datos sobre las vulnerabilidades y, queremos creer, ya habrán trabajado en superarlas. Por otro lado está la doble competencia. La primera es la de las compañías que buscan tener el navegador más seguro y por otro lado la de los hackers, que intentan irse a sus casas con un cheque de al menos 5 cifras.
Con la excusa de abogar por una web más segura, Google premiará a los concursantes ganadores con premios según el nivel de las vulnerabilidades que encuentren. Es decir, no se trata de un torneo de velocidad (aunque también cuente, ya que hay un límite de dinero a entregar), sino de profundidad y de gravedad de los daños causados. Los premios anunciados van desde 20.000 dólares a 60.000 hasta llegar a entregar 1 millón de dólares en premios. Para llevarse algo a casa, deberán sentarse frente a un Windows 7 con el navegador elegido en su última actualización y básicamente, romper todo el trabajo de los equipos de desarrollo en el menor tiempo y con la mayor profundidad posible. En lo que respecta a Google Chrome, en la anterior conferencia no pudo ser explotado, u owneado, como se le dice en la jerga. Y por esto se ha convertido en el único navegador elegible para Pwn2Own que nunca ha sido derribado
Interesante fue ver cómo en la anterior conferencia, nadie se ocupó seriamente de Chrome, como si dieran por perdida la batalla antes de comenzarla. Al entrevistar a los participantes sobre esta rareza, muchos declararon que el sandbox de seguridad de Chrome es bastante dificultoso como para sobrepasarlo y que no valía el esfuerzo en relación a la menor dificultad que presentaban los otros. Google espera que esta vez, y con este premio, los participantes pongan más énfasis en reventar su código. Obviamente, que ni lo intenten, es publicidad pura para Google. Pues qué mejor prueba de que es uno de los más seguros si ni siquiera los más osados hackers gastan energías en derribarlo. Por eso ahora está ofreciendo más dinero a cambio de un eventual ataque e irrupción en el sandbox, que es la barrera en la cual Google basa esta nada sutil arrogancia técnica.
* fuente: neoteo.com
No hay comentarios:
Publicar un comentario