Para cumprir recomendação de evitar aglomerações devido ao novo coronavírus, organizadores permitiram participações remotas. Richard Zhu e Amat Cama fazem participação remota para demonstrar exploração de vulnerabilidade em software na Pwn2Own.
Zero Day Initiative/Trend Micro
A competição de segurança Pwn2Own, que incentiva especialistas a demonstrarem falhas de segurança em diversos tipos de software e hardware, encerrou sua edição "canadense" deste ano com uma novidade: por causa da pandemia do novo coronavírus, os participantes realizaram suas demonstrações remotamente, pela internet.
As demonstrações contavam com acesso remoto a um sistema fornecido pela competição com webcams trazendo os rostos dos competidores. Nos dois dias de disputa, os especialistas demonstraram 13 falhas de segurança e receberam um total de US$ 270 mil (cerca de R$ 1,35 milhão) em prêmios.
Foram demonstradas falhas no Adobe Reader, no Safari (navegador web da Apple) e no Oracle VirtualBox. Sistemas operacionais também não saíram ilesos, e os pesquisadores conseguiram explorar vulnerabilidades no Windows, no macOS e no Ubuntu Linux, muitas vezes para elevar o acesso obtido por meio de uma das demais falhas.
Em um ataque contra o Safari no macOS, por exemplo, os especialistas do Georgia Tech Systems Software & Security Lab encadearam seis vulnerabilidades em sequência para transformar uma página web em um programa com acesso total ao sistema operacional.
Mesmo com a abertura da competição para participantes remotos, a vitória ficou com uma dupla consagrada da Pwn2Own, a Fluoroacetate. Formada pelos especialistas Amat Cama e Richard Zhu, a Fluoroacetate já venceu a competição outras três vezes — incluindo as edições de Tóquio e do Canadá em 2019.
O que é a Pwn2Own
A Pwn2Own é realizada desde 2007. Sua primeira edição ocorreu na conferência de segurança CanSecWest, no Canadá. A competição ganhou uma edição em Tóquio em 2013 e uma em Miami em 2019. Quando foi inaugurada, a Pwn2Own causou muita controvérsia com a oferta de entregar o hardware (um MacBook) ao pesquisador que conseguisse demonstrar um ataque.
Em 2007, não era comum que pesquisadores recebessem qualquer tipo de prêmio ao encontrar e demonstrar falhas de segurança. A Pwn2Own fez parte da mudança desse cenário – hoje, muitas empresas possuem programas de incentivo que recompensam especialistas dispostos a encontrar e relatar falhas em seus produtos.
Mas há uma condição: o pesquisador não pode divulgar a brecha publicamente, de modo que os responsáveis possam corrigir o problema antes que hackers possam tirar proveito dele.
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected]