OS X e Windows Vista São Crackeados em Competição, mas Ubuntu Sobrevive

A segunda edição da competição PWN to OWN, durante a conferência de segurança CanSecWest em Vancouver, aconteceu de quarta a sexta, 26 a 28 de março de 2008. Três laptops estavam na disputa: um MacBook Air com Mac OS X, um Sony VAIO com Ubuntu Linux e um Fujitsu com Windows Vista Ultimate SP1. A regra era simples para quem participa desse tipo de prova de fogo: usar uma falha desconhecida, ganhar o direito de levar a máquina e, dependendo da fase, um prêmio em dinheiro. Ao final dos três dias, só o VAIO com Ubuntu seguiu intacto.

A organização ficou a cargo do Zero Day Initiative da TippingPoint. É o programa que compra informações sobre vulnerabilidades ainda não divulgadas, protege seus clientes com assinaturas e políticas, e coordena a divulgação responsável com os fabricantes para que as correções saiam no tempo certo. A proposta da competição segue essa linha, premiando quem encontra a falha e exigindo que os detalhes sejam entregues à equipe para notificação adequada aos fornecedores.

No primeiro dia só valiam ataques remotos, puramente por rede, com um prêmio alto previsto para quem conseguisse a façanha. Nenhum dos três sistemas caiu nessa fase. No segundo dia entraram em cena os aplicativos do dia a dia, como navegador, e‑mail e mensageiro. Bastaram poucos minutos após a abertura para que o MacBook Air fosse comprometido por uma vulnerabilidade no Safari. O ataque usou um site preparado para tomar o controle da máquina. A exploração foi apresentada por Charlie Miller e pela equipe da Independent Security Evaluators, nomes bastante conhecidos nesse circuito.

Na sexta, a regra permitia explorar plugins de navegador e outros programas comuns. O alvo que cedeu foi o Windows Vista, por causa de uma falha no Adobe Flash Player. Shane Macaulay conduziu o ataque, com apoio de Alexander Sotirov e Derek Callaway. A equipe vinha tentando desde a véspera até conseguir fechar a cadeia de exploração que rendeu o laptop e o prêmio em dinheiro oferecido para a etapa.

O Ubuntu foi o único a atravessar os três dias sem comprometimento. Os organizadores informaram que os três sistemas estavam com as versões mais recentes e todos os patches disponíveis, rodando com configurações padrão. Isso ajuda a entender parte do resultado. As explorações que apareceram atingiram o navegador do Mac e um plugin popular no Windows, componentes que ampliam a superfície de ataque. Em cenários de competição, qualquer erro de implementação ou integração vira porta de entrada.

Não dá para concluir que o Ubuntu é invulnerável. O que dá para dizer, pelos testes dessa edição, é que uma combinação de arquitetura, padrões de segurança e escolhas de software ajudou o sistema a resistir naquele contexto específico. Para os fabricantes, fica o recado sobre a importância de endurecer navegadores e de tratar com prioridade as dependências mais comuns. Para quem usa, vale manter tudo atualizado, escolher bem plugins e extensões e lembrar que o elo fraco costuma aparecer fora do núcleo do sistema.

Se você quiser ler o relato original, a matéria da Linha Defensiva cobriu a competição e traz mais detalhes: http://linhadefensiva.uol.com.br/2008/03/pwn-to-own-2008/