• Tweet

Fue otro día nefasto para la seguridad en Internet en el concurso anual de hackers Pwn2Own, del miércoles, con el Internet Explorer de Microsoft, el Firefox de Mozilla y el Safari e iPhone de Apple sucumbiendo a exploits que permitieran manipularlos remotamente.

Como piezas de dominó callendo en una rápida sucesión, las plataformas fueron arrasadas en el cuarto año del concurso, el cual vino a remarcar la alarmante falta de seguridad en la mayoría del software para Internet. Para calificar a lo premios de mayor dinero, los exploits tuvieron que atacar vulnerabilidades no documentadas previamente que expusieran datos sensibles del sistema o que permitieran la ejecución de código malicioso.

Los exploits fueron aún más impresionantes ya que evitaron las más recientes medidas de mitigación de seguridad que los creadores de software han implementado por años, en un intento de reforzar sus productos. Aquello incluyó al DEP ( Prevención de Ejecución de Datos) y ASLR (Aleatorizacion de la Distribucion del Espacio de Direcciones) y en el caso del iPhone, el firmado de código para prevenir a aplicaciones no autorizadas ejecutarse en el dispositivo.

“La firma de código por Apple es severa, aunque no estoy seguro si ellos lo hacen por seguridad o sólo por asegurar a la gente en su plataforma”, comentó Halvar Flake, investigador de seguridad en la compañía Zynamics. El comprometió el iPhone usando un exploit escrito por su colega Vincenzo Iozzo. El estudiante de la Universidad de Luxemburgo Ralf-Philipp Weinmann también fue elemento principal en el desarrollo del ataque.

El mecanismo para la firma del código del iPhone requiere que el código se cargue en memoria para llevar una firma digital antes de que pueda ser ejecutado. Para darle la vuelta a ésto, los investigadores usaron una técnica conocida como programación orientada a retornos, la cual toma piezas de código válido y lo arregla para formar el payload malicioso.

Como resultado, los hackers fueron capaces de crear un sitio web que al ser visitado por el smatphone de Apple lo forza a proporcionar una copia de su base de datos de SMS. El archivo incluye una lista de contactos, así como copias completas de mensajes que han sido enviados y recibidos. La base de datos también contiene mensajes borrados, a menos que un usuario haya pasado por el inconveniente de borrarlos manualmente.

Los hacks llegaron en el primer día del concurso, en el cual se ofrecieron un total de US$100,000 en premios y que coincide con la conferencia CanSecWes en Vancouver. Además apareció tres meses después de que los hackers criminales atravesaran las defensas de Google, Adobe y alrededor de otras 33 grandes compañías, utilizando vilnerabilidades similares en una versión anterior del IE.

La relativa facilidad que los participantes tuvieron para explotar otras plataformas sugirieron que son susceptibles al mismo tipo de ataques cuando existe el incentivo financiero para desarrollarlas.

Al DEP y al ASLR, los cuales Microsoft empezó a implementar con la liberación del Service Pack 3 para Windows XP, no les fue mucho mejor. Peter Vreugdenhil, un investigador con sede en Holanda, fue capaz de tomar control de una laptop con IE 8, corriendo en Windows 7, una combinación ampliamente considerada por los hackers de sombrero blanco, como una de las más difíciles de comprometer.

A diferencia de técnicas anteriores de DEP y ASLR, el exploit de Vreugdenhil no usó el Flash de Adobe, o cualquier otro software de terceros para llevar a cabo la hazaña. Más bien, se basó en un exploit para revelación de información que le permitió identificar la localización en la memoria de una módulo principal que es cargado por el buscador de Microsoft.

“Usé ese conocimiento para crear una desviación del DEP reutilizando código en ese módulo para cambiar la protección”,dijo él, unos minutos después de causar que Windows 7 abriera espontáneamente el programa de calculadora. “La vulnerabilidad que econtré me permitió exponer el heap exactamente como quería, lo que no siempre es posible.”

Firefox corriendo en Windows 7, fue tambień afectado. El autor de ese exploit fue Nils, el mismo hacker que comprometió exitosamente máquinas corriendo IE, Firefox y Safari en el concurso Pwn2Own del año pasado. Como en aquella vez, pidió que su apellido no fuera publicado, pero en ésta ocasión, el joven de 26 años comentó que es el jefe de investigación en MWR InfoSecurity, una consultora de seguridad en Basingstoke, UK.

Los investigadores de Microsoft, los cuales estuvieron presentes en masa en el concurso, están investigando el reporte y generarán un parche si sus descubrimientos los garantizan, dijo Pete LePage, un gerente de producto senior para IE. Comentó, además, que Microsoft no está consciente de los ataques más recientes cuyos objetivos sean las vulnerabilides presentes.

Safari fue también parte del botín, haciendo de este, el tercer año consecutivo que el participante Charlie Miller ha comprometido el buscador de Apple. Miller de 36, que es el principal analista de seguridad en Independent Security Evaluators, dijo que vino este año con cerca de 20 ataques funcionales, los cuales en casi todos los casos le permiten tomar control de la Mac que ejecuta el programa.

Dijo, además, que los encontró todos usando el mismo script rudimentario de 5 líneas escrito en python, lo que planteó la muy legítima pregunta: ¿Si él pudo encontrarlos, por qué la gente que trabaja en el equipo de seguridad de Apple no pudo hacerlo también-

“Mañana, voy a describir exactamente cómo los encontré y entonces eso significa que Apple podŕa replicar lo que hice y podrán encontrar mis 20 erroes y probablemente, muchos más,” comentó Miller. “Esperemos que ellos continuen haciéndolo y que mejoren sus mecanismos para encontrar los errores, en lugar de sólo mandar avisos cada vez que les envío un correo acerca de algún bug que tengo.”

El hack para el iPhone fue marcado en $15000 y los exploits para los buscadores fueron premiados con $10000 cada uno.

La genialidad de un concurso como Pwn2Own es que expone la inseguridad en el software que rara vez es explotada por los criminales. Muchos de los fans de Linux y Mac citan la ausencia de exploits del mundo real en aquellas plataformas como una prueba positiva de que son más seguras que el prevaleciente sistema operativo de Microsoft. Es un argumento que tuvo poco peso en Vancouver.

“El problema que tiene Microsoft es que tiene un gran mercado, dijo Vreugdenhil, el hacker que atacó IE. “Yo uso Opera, pero es básicamente porque tiene un mercado pequeño y en lo que yo sé, nadie está realmente interasado en crear un ataque por descarga para Opera. De hecho, la red en este momento, da bastante miedo.”