Hackers White Hat faturam R$ 2,5 milhões encontrando vulnerabilidades em competição. |
Segurança Digital - A competição de segurança Pwn2Own completou 10 anos com a última edição, finalizada no dia 17 de março de 2017. O evento, ocorrido durante a conferência de segurança CanSecWest, em Vancouver, no Canadá, distribuiu um total de US$ 833 mil (cerca de R$ 2,5 milhões) em prêmios para diversos pesquisadores de segurança que demonstraram 51 vulnerabilidades inéditas.
Os destaques dessa edição foram os ataques contra máquinas virtuais VMWare. Realizados pelas equipes da 360 Security (Qihoo) e da Tencent, os dois ataques conseguiram permitir que um código escapasse da virtualização e atacasse o sistema hospedeiro. Falhas como essa são bastante graves para a internet de hoje, já que diversos sistemas da dita "computação em nuvem" são virtualizados - e é justamente por isso que tecnologias de virtualização agora estão na Pwn2Own. Os ataques renderam prêmios de US$ 105 mil (360 Security) e US$ 100 mil (Tencent).
O evento também revelou falhas em navegadores web, incluindo Edge, da Microsoft, e Firefox. As informações sobre as brechas são remetidas aos fabricantes para que eles possam corrigir o problema. A Mozilla já se destacou por corrigir a brecha explorada no Firefox em apenas 22 horas.
A Pwn2Own usa um sistema de pontos chamado de "Master of Pwn" para determinar o vencedor. Os vencedores deste ano foram os da equipe da 360 Security, da chinesa Qihoo. Logo depois deles vieram especialistas em segurança das também chinesas Tencent e Chaitin Tech. A Tencent tinha três equipes na competição, cuja soma de pontos deixaria a empresa em primeiro lugar, mas os times se inscreveram como competidores separados.
A competição contou ainda com três pesquisadores independentes, dois deles participando como uma dupla. Richard Zhu, que participou sozinho, ficou em quarto lugar, enquanto a dupla Samuel Groß e Niklas Baumstark ficaram na última (sétima) posição. Em quinto e sexto ficaram os outros dois times da Tencent.
Do polêmico ao comum
Criada em 2007, a Pwn2Own nasceu mergulhada em uma polêmica que hoje parece boba. Naquele ano, pagar por falhas de segurança não era uma prática comum entre as empresas de software. Mas o evento competitivo, organizado pela Zero Day Initiative (ZDI) da TippingPoint, oferecia a pesquisadores um prêmio de dez mil dólares e um Macbook para quem conseguisse explorar brechas no sistema da Apple ou no navegador Safari.
O nome da competição é um trocadilho que significa algo "invada para ser dono". A ideia, portanto, era que quem conseguisse invadir a máquina poderia levá-la para casa -- além do prêmio em dinheiro.
Hoje, os 10 mil dólares somados ao preço dos Macbooks não parecem muito impressionantes. Até a Microsoft, que resistiu bastante para começar a oferecer pagamento por vulnerabilidades, já pagou quantias de três dígitos.
Ao longo dos anos, a competição revelou pesquisadores de segurança que fizeram história. Um deles é Charlie Miller, responsável pela pesquisa que descobriu como desligar um carro pela internet. Miller participou da Pwn2Own em 2008, 2009, 2010 e 2011.
O agora tradicional evento também resistiu ao revezamento corporativo. A TippingPoint, empresa de segurança que mantém o ZDI, organizador do evento, já pertenceu à 3Com, à HP e hoje é da japonesa Trend Micro. A competição chegou a ter problemas financeiros, supostamente ligados a uma polêmica com exportação de armas cibernéticas.
A Pwn2Own terá ainda mais uma edição este ano, em Tóquio, e a ZDI já afirmou que pretende continuar o evento no ano que vem.