El PWN2OWN es un concurso celebrado entre el 26 y el 29 de marzo y creado por la conferencia de seguridad digital CanSecWest. El objetivo es descubrir nuevos fallos de seguridad en los tres sistemas operativos más populares del momento: Windows, Mac y Ubuntu.
Los sistemas están instalados en tres portátiles diferentes, con su última versión y completamente actualizados. Los concursantes son todos hackers con mucho renombre y expertos en seguridad que luchan por quedarse el portátil y un premio económico de 10000 dólares. Leopard se ejecutaba sobre un Macbook Air, Ubuntu 7.10 sobre un Sony Vaio y Windows Vista en un Fujitsu.
El primer día sólo se permitían accesos mediante la red, y nadie consiguió entrar a ningún sistema. Lo más chocante fue que Mac OSX Leopard fue el primero en caer en cuanto se permitió acceder a los sistemas para hacer cosas como visitar páginas web. Charlie Miller tumbó el portátil de Apple aprovechando un bug del navegador Safari. Windows Vista aguantó el empentón hasta el último día, hasta que Shane Macaulay consiguió hackearlo. Ubuntu Gutsy permaneció intacto hasta el final, aguantando como un campeón.
No es un concurso del que se deban extraer muchas conclusiones sobre la seguridad en general de los tres SO, tan sólo intenta descubrir nuevos agujeros y forzar a las empresas a solucionarlos cuanto antes. Los tres sistemas se exponen a varios expertos que desarrollan aplicaciones y métodos para tomar el control usando alguna vulnerabilidad, y que intentan hacerlo lo más rápidamente posible para llevarse el premio. Por tanto, hay que tener cuidado con las conclusiones que se sacan y no pensar que el hecho de que hayan hackeado antes Mac que Ubuntu no significa que Ubuntu no pueda tener muchísimos más agujeros de seguridad, sólo que no han querido desarrollarlos o era más rápido hacerlo para el otro sistema... o simplemente que al hacker le gustaba mucho más el Macbook Air que el Sony Vaio.
Vía | "Barrapunto":http://barrapunto.com/article.pl?sid=08/03/30/0125228&from=rss Imagen | "Charlie Miller Hacking the Apple Air":http://flickr.com/photos/ggee/2368423842/ En Applesfera | "PWN2OWN: Mac el primero en caer por vulnerabilidad":https://www.applesfera.com/2008/03/28-pwn2own-mac-el-primero-en-caer-por-vulnerabilidad Enlace | "CanSecWest":http://cansecwest.com/post/2008-03-20.21:33:00.CanSecWest_PWN2OWN_2008
Ver 12 comentarios
12 comentarios
aladaris
"Por tanto, hay que tener cuidado con las conclusiones que se sacan y no pensar que el hecho de que hayan hackeado antes Mac que Ubuntu no significa que Ubuntu no pueda tener muchísimos más agujeros de seguridad"
Hmm no estoy de acuerdo contigo del todo. El MaC calló por culpa de un error en su navegador (safari), Windows y Ubuntu resistieron con sus respectivos navegadores. Estería de acuerdo si hubieses dicho que Ubuntu calló mediante un exploit Java, cosa que se podría haber utilizado también contra Ubuntu (Y por supuesto contra MAC).
De todos modos los resultados de este campeonato nunca han significado nada …
sandesign
El portátil con Vista cayó debido a un agujero de seguridad en el Adobe Flash player, por lo tanto no fué un fallo del sistema operativo en sí, sino por un software de terceros:
http://blogs.zdnet.com/security/?p=988
Debido a que Flash player no fue programado para tomar total ventaja de las nuevas protecciones ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) que debutan en Windows Vista, es natural que todavía sea posible programar ataques para este SO. Mientras no se empiece a programar aplicaciones que utilicen la seguridad de estas dos tecnologías, seguiremos en las mismas con virus y spyware. Para más info sobre estas mejoras de seguridad en Vista:
http://blogs.zdnet.com/security/?p=912
Omar Renteria
Pues miren francamente dicen que Mac es lo mejor que existe en el mundo y no se que, pero diganme ¿Qué OS se queja mucho de los bugs por exploradores originarios de su plataforma?…o ¿Qué OS es el que saca más "parches" de seguridad?…o simplemente ¿Porqué cuando tienes un Mac con más de dos años de vida simplemente se apaga y no vuelve a encender, es decir, justo cuando deja de soportar las actualizaciones?…Es sencillo, para que tener un equipo americano que Charlie Miller o cualquiera de esos hackers puede conseguir en su país con mucha facilidad siendo que un Vaio de ese tipo es solo disponible en Europa o un Fujitsu de ese tipo es solo disponible en Japón o dificiles de conseguir en America…Seguro que yo prefiero el Mac..Además Características de MacBook Air:
1 Puerto USB (Seguro que para iPod o iPhone)
80GB de Disco Duro
1Gb RAM
y ya!!!..osea mi colección de musica y programas es de al menos 70GB, necesito conectar mi memoria USB, un mouse (ratón) para trabajos de diseño grafico y ademas 1 GB de Ram siendo que el Vaio cuenta con:
3 Puertos USB
120GB de Disco Duro
2GB de Ram
Si, claro prefiero el Mac con capacidades muchisimo mas altas que el Vaio o que el Fujitsu—-Es sarcasmo para aquel que utilice Mac.
Simplemente admitan Mac y Windows no sirvieron en ese concurso y necesitan dejar de pensar en comercializar y comenzar a optimizar, porqué realmente solo quieren llevar dinero a la bolsa…por cierto no fueron 2 minutos la marca fue de 1 minuto y 38 segundos Aprox.
Asi que para los fanz de Mac—>Mac apesta…
Para los fanz de Windows—->No es un asco tal como Mac…Para los fanz de Linux (Distro Ubuntu sobretodo)—–>Somos mejores que Windows y Mac juntos!!!
Guillermo Latorre
aladaris: bueno, me refiero a que no sabemos cuánto tiempo han dedicado a intentar explotar Ubuntu, si ha sido el mismo que han empleado en Mac, etc. El tío que ha conseguido hackear el Mac es un experto y muy conocedor de problemas de seguridad en Mac y en el iPhone, y quizá no haya habido ningún experto de las mismas características para el caso de Ubuntu y Windows.
A eso me refería, a que esto sólo demuestra que hay un bug en un sistema, que alguien lo ha encontrado y que hay que corregirlo, pero no quiere decir que en los demás no haya errores también, sólo que este se ha conseguido averiguar antes.
Rodrigo Moreno
Esto suena muy interesante, algún día espero ser bueno en la informática, ya que estos concursos llaman mi atención….
guillermoeduardo
yo tambien me hubiera escojido el mac, y otra cosa casi ningun maquero utiliza safari, en mi caso prefiero camino, aunque en mi lap personal tengo Ubuntu Gutsy espero con ansias a Ubuntu Hardy Heron.
acubo
La simple logica de desarrollo de un producto y de codigo indica que una distro basada en el nucleo de linux pero ademas en debian sera un sistema operativo mas solido que windows y mac os, esta diferencia no es pequeña sino es abrumadoras debido a la influencia del codigo abierto y del software libre, bien por Ubuntu por que tiene un producto muy solido con muy altos estandares de calidad, y pesimo por mac os y windows que demuestran una vez mas que lo de ellos es puro y simple mercadeo que como sistemas operativos tienen deficiencias terribles y avergonazantes.
Razor911
Tal como les contamos ayer, una laptop MacBook Air fue hackeada en dos minutos para convertirse en la primera en ser vulnerada durante el concurso PWN 2 OWN, en apenas dos minutos, mientras que una Fujitsu con Windows Vista (con Service Pack 1) pudo ser crackeada ayer viernes.
Una Sony Vaio VGN-TZ37CN que contaba con Ubuntu Linux 7.2 fue la única de las tres portátiles que resistió los intentos de los participantes.
El ganador del año pasado Shane Macaulay y sus compañeros lograron penetrar en el sistema Windows Vista ayer viernes, y tardaron más de lo esperado pues no iban preparados para atacar el Windows Vista SP1, que tiene mayor protección.
Se supo que fue un bug en Java, independiente de la plataforma Windows, el que les permitió vulnerar la seguridad de Vista. El ganador no revelará cuál fue el bug encontrado hasta que no se notifique a los ingenieros de Microsoft.
Al parecer se encontraron fallas prometedoras en Ubuntu Linux, pero ninguno de los programadores y hackers, dice Engadget, quiso “hacer el trabajo extra de programar el código de exploit que les permitiría ganar el concurso”. Esto parece improbable, y tiene más sentido que (por el premio de 10.000 dólares, fama y la costosa máquina Vaio) ninguno de ellos tuvo la capacidad de desarrollar un exploit apropiado, uno de los obstáculos más difíciles en la labor de atacar un sistema informático.
El objetivo del concurso, que se enmarca en la conferencia CanSecWest y va por su segunda edición, es romper la seguridad de las máquinas en juego y leer los contenidos de un archivo de texto. Los atacantes deben conseguir una vulnerabilidad previamente desconocida en los sistemas para conseguir el acceso a los archivos dentro de la máquina, utilizándo sólo una conexión de red.
El premio original por hackear exitosamente una de las máquinas durante el primer día del co
hazzor
entre un Vaio, un Fujitsu y un MacBook Air, a por cual habríais ido vosotros?
con eso se dice todo…..
Ian Benedict
Un detalle nada mas, según hasta donde yo se, ubuntu no es que halla aguantado hasta el final lo que pasa es que el/los Hackers encontraron varios fallos en la seguridad del SO pero por alguna razón no quisieron explotarlo, puede que el hecho de OSX halla caído muy rápido y perdiendo el premio o el hecho de que esos fallos fueran muy dificiles de explotar, quien sabe las razón no son dadas pero seria bueno mencionarlo ya que la noticia queda muy subjetiva.
Saludos.
elrogerochoa
o tal vez era mas el premio para que no hackearan ubuntu y si lo hicieran con otro…
que tan confiable es el concurso?
aladaris
PD: Ubuntu (Linux en general) TIENE muchísimos menos agujeros de seguridad que cualquier S.O privativo.