19 de fev de 2010

Competição dará US$ 100 mil em prêmios por falhas de segurança

A polêmica competição “Pwn2Own”, que premia os especialistas que conseguirem explorar com sucesso brechas em navegadores, sistemas operacionais e smartphones está de volta este ano. Nesta versão, a disputa oferece um total de US$ 100 mil em prêmios para os vencedores. A competição ocorre na conferência de segurança CanSecWest, e é patrocinada pelo Zero Day Initiative (ZDI) da TippingPoint.

O ZDI paga os pesquisadores que derem acesso exclusivo às informações sobre as falhas que descobrirem para a TippingPoint. Na Pwn2Own, o competidor precisa concordar que qualquer brecha utilizada passe a ser de propriedade da TippingPoint. A TippingPoint é uma empresa da 3COM, conhecida fabricante de equipamentos de rede como placas, switches e modems.

Tanto o modelo da competição como o modelo do ZDI são polêmicos, porque recompensam os pesquisadores pela descoberta de falhas para as quais eles não foram contratados para descobrir.

O foco da competição este ano está nos dispositivos portáteis. Quatro smartphones estarão disponíveis, e explorar com sucesso uma brecha em cada um deles vale US$ 15 mil, para um total de U$ 60 mil. Os celulares disponíveis na competição serão o iPhone 3GS, um BlackBerry, um Nokia rodando o sistema operacional Symbian e também um Motorola com o Android, do Google.

Os competidores poderão também tentar explorar brechas no Windows 7 (no primeiro dia), Vista (no segundo dia), XP (no terceiro dia) e no MacOS X (nos três dias), nos navegadores Internet Explorer 7 (segundo e terceiro dia) e 8 (primeiro dia), Mozilla Firefox 3, Google Chrome 5 e Safari (somente no Mac). O prêmio em dinheiro nessa categoria é de US$ 10 mil. Como são 4 notebooks (três com Windows, com cada navegador, e um com o Mac), o total de prêmios em dinheiro é de US$ 40 mil.

Quem conseguir obter o controle total do sistema atacado leva o notebook (ou o celular), além do em dinheiro. Em alguns casos, há outras regalias, como uma viagem paga para a conferência de segurança DEFCON em Las Vegas.

No ano passado, os navegadores Firefox, Internet Explorer e Safari foram todos atacados com sucesso por um estudante anônimo conhecido apenas como “Nils” e pelo pesquisador Charlie Miller. O Chrome e os celulares, que já faziam parte da competição, saíram ilesos, apesar de várias tentativas de exploração. Cada competidor tem apenas 30 minutos para tentar o ataque

Nenhum comentário: