Una vulnerabilidad en Safari puede reportar hasta 20.000 dólares
En el contexto de la conferencia CanSecWest 2007, celebrada en Canadá,
se realizó el concurso “Hack a Mac”, en el que se premiaba con el propio
MacBook a quien fuese capaz de comprometerlo de forma remota con
privilegios de root. Tras relajar las reglas para facilitar que alguien
consiguiese el premio y aumentar el incentivo, los ganadores han
obtenido no sólo el Mac, sino 10.000 dólares. Planean ganar otros 10.000
a través de otras iniciativas privadas.
Shane Macaulay y Dino Dai Zovi consiguieron ejecutar código a través de
Safari con privilegios del usuario que lanzase el navegador. En
principio las reglas del concurso eran más estrictas: se pretendía que
alguien ejecutase código con privilegios de root de forma remota sin
necesidad de actividad alguna por parte del "atacado". Nadie fue capaz
de conseguirlo en el tiempo estipulado, así que se permitió que el
ataque se perpetrara a través de cierta interactuación de la víctima
(visitando páginas) y añadieron 10000 dólares de premio al incentivo
inicial (que consistía en ganar la propia máquina comprometida, un
MacBook con Mac OS X 10.4.9).
Los investigadores descubrieron y prepararon en cuestión de horas un
exploit funcional a través de una página web manipulada. Al ser visitada
por Safari, se ejecutó código y consiguieron el premio que se elevó a
10.000 dólares y el propio ordenador. Sin embargo quieren sacar más
partido a la vulnerabilidad. No han ofrecido ningún detalle sobre
el fallo y pretenden apuntarse al carro del pago por vulnerabilidad.
En este caso, su intención es ganar otros 10.000 dólares a través
de la Zero Day Initiative que premia el descubrimiento de nuevas
vulnerabilidades si se ceden en exclusiva a TippingPoint (filial
de 3com que lo organiza) los detalles de cómo aprovecharla.
Un trabajo de apenas unas horas (según los descubridores les llevó
nueve horas todo el proceso, descubrimiento y programación de exploit
incluido) podría reportar a sus descubridores un total de un MacBook
y 20.000 dólares (unos 15.000 euros a día de hoy).
Shane Macaulay y Dino Dai Zovi demuestran así que si juegan bien sus
cartas y mueven inteligentemente su fichas cuando disponen de un
conocimiento exclusivo, una vulnerabilidad puede llegar a ser bastante
lucrativa, y no sólo en cuestión de renombre y prestigio.
Y todo esto sin pasearse por el "lado oscuro" (el mercado de las mafias
informáticas) donde, con bastante probabilidad, muchas vulnerabilidades
alcanzan un precio superior.
Más información:
MacBook hacked in contest at security event
http://news.com.com/2100-7349_3-6178131.html?tag=2547-1_3-0-5
Fuente: http://www.hispasec.com/unaaldia/3103/
se realizó el concurso “Hack a Mac”, en el que se premiaba con el propio
MacBook a quien fuese capaz de comprometerlo de forma remota con
privilegios de root. Tras relajar las reglas para facilitar que alguien
consiguiese el premio y aumentar el incentivo, los ganadores han
obtenido no sólo el Mac, sino 10.000 dólares. Planean ganar otros 10.000
a través de otras iniciativas privadas.
Shane Macaulay y Dino Dai Zovi consiguieron ejecutar código a través de
Safari con privilegios del usuario que lanzase el navegador. En
principio las reglas del concurso eran más estrictas: se pretendía que
alguien ejecutase código con privilegios de root de forma remota sin
necesidad de actividad alguna por parte del "atacado". Nadie fue capaz
de conseguirlo en el tiempo estipulado, así que se permitió que el
ataque se perpetrara a través de cierta interactuación de la víctima
(visitando páginas) y añadieron 10000 dólares de premio al incentivo
inicial (que consistía en ganar la propia máquina comprometida, un
MacBook con Mac OS X 10.4.9).
Los investigadores descubrieron y prepararon en cuestión de horas un
exploit funcional a través de una página web manipulada. Al ser visitada
por Safari, se ejecutó código y consiguieron el premio que se elevó a
10.000 dólares y el propio ordenador. Sin embargo quieren sacar más
partido a la vulnerabilidad. No han ofrecido ningún detalle sobre
el fallo y pretenden apuntarse al carro del pago por vulnerabilidad.
En este caso, su intención es ganar otros 10.000 dólares a través
de la Zero Day Initiative que premia el descubrimiento de nuevas
vulnerabilidades si se ceden en exclusiva a TippingPoint (filial
de 3com que lo organiza) los detalles de cómo aprovecharla.
Un trabajo de apenas unas horas (según los descubridores les llevó
nueve horas todo el proceso, descubrimiento y programación de exploit
incluido) podría reportar a sus descubridores un total de un MacBook
y 20.000 dólares (unos 15.000 euros a día de hoy).
Shane Macaulay y Dino Dai Zovi demuestran así que si juegan bien sus
cartas y mueven inteligentemente su fichas cuando disponen de un
conocimiento exclusivo, una vulnerabilidad puede llegar a ser bastante
lucrativa, y no sólo en cuestión de renombre y prestigio.
Y todo esto sin pasearse por el "lado oscuro" (el mercado de las mafias
informáticas) donde, con bastante probabilidad, muchas vulnerabilidades
alcanzan un precio superior.
Más información:
MacBook hacked in contest at security event
http://news.com.com/2100-7349_3-6178131.html?tag=2547-1_3-0-5
Fuente: http://www.hispasec.com/unaaldia/3103/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!