¿Cuál será más fácil de hackear?

Los nuevos dioses se llaman sistemas operativos o navegadores. Los nuevos cruzados son los usuarios que son capaces de defender lo indefendible y promover el uso de uno u otro modelo. Tal vez, los evangelizadores tecnológicos reciban un baño de humildad si es que el concurso organizado por la conferencia de seguridad CanSecWest se lleva a cabo y sus resultados se dan a conocer públicamente.

CanSecWest es una conferencia anual que se realizará en Vancuver, Canadá a fines de este mes. Los organizadores han decidido premiar con U$S25.000 al primero que logre acceder a cada una de tres computadoras y ejecutar algunos comandos para controlarlas.

Se usarán tres modelos:

* Fujitsu U810 corriendo Windows Vista Ultimate
* Vaio VGN-TZ37Cn corriendo Ubuntu 7.10
* MacBook Air corriendo sobre Leopard

Cada una de ellas incluirá aplicaciones varias; navegadores web (Internet Explorer, Safari, Konqueror y Firefox), mensajeros instantáneos (AIM, MSN, Yahoo, Adium, Skype y Pigdin) y clientes de email (Outlook, Mail.app, Thunderbird, kmail, mutt)

¿Será la hora de la verdad y se terminarán las discusiones?

En realidad, lo dudo. Los talibanes digitales no suelen aceptar opiniones adversas.

En el concurso del año pasado de Pwn2Own, los organizadores de la conferencia desafiaron a sus asistentes a hackear una MacBookPro completamente parchada para poder llevarse la máquina y $10,000 gracias a TippingPoint. Al gurú en seguridad, Dino Dai Zovi, le tomó nada menos que 12 horas para hacerlo posible. El logró hacer esto posible creando un exploit en QuickTime que le permitó tener el control completo de la máquina.

Las competencias Pwn2Own de CansecWest son muy útiles porque permiten conocer cuáles son las fortalezas y debilidades de cada una de éstas plataformas. Sin embargo es agrio el debate que existe sobre si es que la gran cantidad de exploits para Windows, comparados con otros sistemas operativos como OS X o Linux, es solo consecuencia de que tenga captado un 90% del mercado o en realidad se trata de un sistema de códigos prácticos e inseguros adoptados por Microsoft.

Por otro lado, existe algo de cierto en que los ataques de los cibercriminales se dirijan principalmente a Windows (en lugar de a las Mac o Linux) y es que de algún modo tiene algo que ver con que populares juegos como Half Life 2 y Crysis no se encuentren en éstas plataformas: la rentabilidad, ya que les reporta un menor nivel de ganancias. Es por esto que la competencia de Pwn2Own ofrece una incentivo considerable de modo que se exploten lo más posible éstas plataformas y así neutralizar de algún modo la variable económica.

“Estas computadoras son REALES y están completamente PARCHADAS (actualizadas)“, indica el organizador de la conferencia, Dragos Ruiu, en un email que redactó donde anunciaba las reglas de la competencia. “Todo software desarrollado por algún tercero puede también ser usado. No existen imitaciones de vulnerabilidades. Cualquier exploit usado con éxito en esta prueba también significa un gran beneficio para todos los hosts conectados vía internet.”

Las reglas para la prueba de este año incluyen:

* Límite de una laptop por concursante
* La misma vulnerabilidad no puede ser usada para más de una plataforma
* Los ataques se harán usando una red cableada (desde el cual el atacante deberá obtener control del router por defecto) o usando una radio frecuencia con algún arreglo especial.
* Los exploits ganadores deberán haber sido hechos usados una vulnerabilidad desconocida, aquellos que reporten hackeos usando vulenrabilidades anteriormente reportadas no podrán resultar ganadores.

Cada una de las máquinas incluirá un amplio despliegue de aplicaciones, incluyendo navegadores web (Internet Explorer, Safari, Konqueror y Firefox), mensajeros instantáneos (AIM, MSN, Yahoo, Adium, Skype y Pigdin) y clientes de email (Outlook, Mail.app, Thunderbird, kmail, mutt)

La competencia se llevará a cabo del 26 al 29 de Marzo :up: .

Mac, el primero en caer

Empezaré diciendo que en mi modesta opinión este resultado no significa prácticamente nada, pero váis a leer hoy en un montón de sitios que un portátil MacBook Air ha sido la primera víctima del Pwn2Own 2008, un reto planteado en CanSecWest, que consiste en exponer tres portátiles, corriendo tres sistemas operativos diferentes (Windows Vista Ultimate SP1, Ubuntu Linux 7.10 y Mac OS X 10.5.2), a todas las maldades que se les ocurran a los muchos hackers asistentes a las conferencias.

En realidad el reto arrancó ayer, con condiciones más estrictas, y las tres víctimas propiciatorias aguantaron la embestida. Como viene siendo tradicional, el segundo día se relajan las normas, permitiendo bajar email y acceder a webs. En estas condiciones, el MacBook corriendo Leopard sólo aguantó entre uno y dos minutos la acometida del equipo de Charlie Miller, buen conocedor también de las debilidades del iPhone, que -gracias, posiblemente, a un nuevo exploit para Safari- se embolsará el portátil comprometido y 10.000 suculentos dólares...

No creo en los concursos como medidores de fortalezas o vulnerabilidades, pero reconozco que, al menos desde el punto de vista de las relaciones públicas, noticias como ésta pueden hacer mucho daño.

Como sabéis, el equipo con MacOSX fue el primero en caer el pasado jueves. Ayer viernes, Shane Macaulay, ganador de la anterior edición de CanSecWest, logró hacerse con el portátil Fujitsu que ejecutaba Windows Vista. Por tanto, sólo el Sony Vaio que corría Ubuntu Linux finalizó el reto imbatido.

Pero antes de que nadie comience a utilizar la caída de Vista como arma arrojadiza, hay que dejar claro que aunque los ganadores no pueden revelar los detalles de sus exploits, éste parece estar en la órbita Java, por lo que tanto Linux como Mac OSX podrían haber sucumbido exactamente igual.

Entonces, ¿por qué Vista? Pues porque Macaulay lo quiso así. Al parecer se decidió por Vista porque ha realizado trabajos para Microsoft y conoce mejor la plataforma Windows. O tal vez porque el año pasado ya ganó un MacBook Pro.

Estos detalles reafirman lo que se publió ayer sobre la caída de Mac OSX: estos concursos no significan absolutamente nada, ni para lo bueno ni para lo malo. Todos nacemos desnudos y se nos puede volver a pillar en pelotas varias veces al día...