Probablemente has oído hablar de Pwn2Own, un concurso de piratería que comenzó junto con el evento anual de ciberseguridad CanSecWest en Vancouver, Canadá.
Pwn2Own es ahora una "marca de piratas informáticos" multimillonaria por derecho propio, después de haber sido comprada por el equipo antivirus Trend Micro y ampliada para cubrir muchos más tipos de errores que solo navegadores y sistemas operativos de escritorio.
El nombre, en caso de que se lo pregunte, es una abreviatura de "pwn it to own it", donde pwn (pronunciado "pone") es la jerga de los piratas informáticos para "tomar el control explotando un agujero de seguridad", y EL DESARROLLADOR literalmente significa "tener título legal sobre".
En pocas palabras: introdúzcalo y podrá llevárselo a casa.
De hecho, incluso en el Concurso Pwn2Own Toronto 2022, donde los montos en efectivo de los premios excedieron con creces el valor de los dispositivos que se iban a piratear, los ganadores pudieron llevarse a casa el kit real que robaron, conservando así el sentido original y literal de la competencia.
Incluso si acaba de ganar $ 100,000 por piratear una impresora en red al abrirse camino primero a través de un enrutador de pequeña empresa (como logró hacer el equipo que terminó en la parte superior de la clasificación general), llevarse a casa los dispositivos reales es un claro recordatorio de un trabajo bien hecho.
En estos días, al piratear hardware como enrutadores o impresoras que tienen sus propias pantallas o luces parpadeantes, los investigadores demostrarán su habilidad con efectos secundarios divertidos, como mensajes en código morse a través de LED, o mostrando videos meméticos como un canción famosa por un famoso cantante pop de los años 1980. El dispositivo pirateado actúa así como su propio documental histórico.
Hackear (del tipo bueno)
Anteriormente dijimos "un trabajo bien hecho", porque aunque debe pensar como un ciberdelincuente para ganar en Pwn2Own, dado que está tratando de generar un ataque de ejecución remota de código que funcione completamente y que a un ladrón le encantaría conocer, y luego para mostrar su ataque trabajando contra un sistema actual y completamente parcheado...
…el objetivo final de crear un “ataque” ganador es la divulgación responsable y, por lo tanto, mejores defensas para todos.
Para participar en la competencia y ganar un premio, acepta no solo entregar su código de explotación al proveedor o proveedores del dispositivo que aportaron el dinero del premio, sino también proporcionar un documento técnico que explique la explotación con el tipo de detalle eso ayudará al proveedor a parchearlo rápidamente y (esperamos) de manera confiable.
El Pwn2Own de fin de año es un tipo de evento itinerante, que se ha llevado a cabo en lugares tan distantes como Aoyama en Tokio, Ámsterdam en los Países Bajos y Austin en Texas.
Originalmente se conocía como la versión de "teléfono móvil" de Pwn2Own, pero el evento de Toronto 2022 invitó a los concursantes a hackear en seis categorías principales, de las cuales solo una incluía teléfonos móviles.
Los dispositivos presentados por sus proveedores y el premio en metálico ofrecido por hacks exitosos se veían así:
HACKEAR UN TELÉFONO... Y GANA: Samsung Galaxy S22 $50,000 Google Pixel 6 $200,000 Apple iPhone 13 $200,000 HACKEAR UN ROUTER SOHO... Y GANA: TPLink AX1800 $20,000 ($5000 si es a través de LAN) NETGEAR RAX30 $20,000 ($5000 si es a través de LAN) Synology RT6600ax $20,000 ($5000 si es a través de LAN) Cisco C921-4P $30,000 ($15,000 si es a través de LAN) Microtik RB2011 $30,000 ($15,000 si es a través de LAN) Ubiquiti EdgeRouter $30,000 ($15,000 si es a través de LAN) HACK A HOME HUB... Y GANA: Meta Portal Go $60,000 Amazon Echo Mostrar 15 $60,000 Google Nest Hub Max $60,000 HACKEAR UNA IMPRESORA DE RED... Y GANA: HP Color LaserJet Pro $20,000 Lexmark MC3224 $20,000 Lexmark MC3224i $20,000 Canon imageClass MF743Cdw $20,000 HACKEAR UN ALTAVOZ... Y GANA: Sonos One Home Speaker $60,000 Mini60,000 Amazon, Apple Echo Studio $60,000 Google Nest Studio $60,000 HACKEAR UNA CAJA NAS... Y GANA: Synology DiskStation $40,000 WD My Cloud Pro PR4100 $40,000
En el evento de este año, los organizadores optaron por trucos extra emocionantes llamados aplastamientos – un poco como un equipo de béisbol que acuerda de antemano que cualquier jugada doble (dos outs a la vez) en la siguiente entrada contará inmediatamente como tres outs y terminará la entrada... pero con la desventaja de que cualquier out sencillo por sí solo no contará en absoluto.
Los smashups valían hasta $100,000 de una vez, pero tenías que declarar tu intención por adelantado y luego piratear uno de los dispositivos de red ingresando primero a través del enrutador, seguido de pivotante (en la jerga) directamente desde el enrutador al dispositivo interno.
Hackear el enrutador a través de la WAN y luego piratear por separado, digamos, una de las impresoras, no contaría como un Smashup: tenía que comprometerse con la cadena todo en uno por adelantado.
Si se pierde el enrutador, ni siquiera tendrá la oportunidad de usar la impresora; piratee el enrutador pero pierda la impresora y perdería lo que de otro modo podría haber ganado al dañar el enrutador por sí solo.
Al final, ocho equipos diferentes de investigadores decidieron respaldarse para buscar las superrecompensas disponibles a través de Smashups...
…y seis de ellos lograron ingresar a través del enrutador y luego a una impresora.
Solo uno de los equipos de Smashup apuntó a otra cosa que no fuera una impresora una vez dentro. los Qiosa seguridad El dúo de Vietnam probó el NAS de Western Digital a través de un enrutador NETGEAR, pero no llegó a su objetivo dentro del límite de 30 minutos impuesto por las reglas de la competencia.
Y los ganadores fueron…
Para agregar un elemento de suerte similar al póquer al concurso, y para evitar discusiones sobre quién merece más reconocimiento cuando dos equipos encuentran el mismo error, los equipos entran al bate en una secuencia decidida al azar.
En pocas palabras, si dos equipos confían en el mismo error en alguna parte de su ataque, el primero se lleva el premio en efectivo completo.
Cualquier otra persona que use el mismo error obtiene los mismos puntos de clasificación, pero solo el 50% de la recompensa en efectivo.
Como resultado, los ganadores absolutos no necesariamente ganarán la mayor cantidad de dinero, de la misma manera que es posible llegar a la victoria absoluta en el Tour de Francia sin siquiera ganar una etapa individual.
Este año, la Maestro de Pwn (Los primeros clasificados obtienen una camiseta de ganador, pero a diferencia de Le Tour, no es amarilla y técnicamente es una chaqueta) ganó la mayor cantidad de dinero, con $ 142,000.
Pero el Laboratorios STAR El equipo de Singapur, que terminó justo fuera de las medallas en el cuarto lugar en la clasificación general, tuvo la feliz conmiseración de llevarse a casa el siguiente cheque de pago más grande, con $97,500.
En caso de que te lo estés preguntando, el los tres primeros lugares fueron tomadas por equipos corporativos para quienes la búsqueda de errores y las pruebas de penetración son un trabajo diario:
1. DEVCORE (18.5 puntos de clasificación más 142,000 XNUMX $). Este equipo trabaja para una empresa taiwanesa de red teaming y ciberseguridad cuyo sitio web oficial incluye personal conocido solo por nombres misteriosos como niño ángel, CB y Meh.
2. EDG del Grupo NCC (16.5 puntos más $82,500). Este equipo proviene del grupo de desarrollo de exploits (EDG) dedicado de una consultoría de seguridad cibernética global originalmente escindida en 1999 del Centro Nacional de Computación del gobierno del Reino Unido.
3. Seguridad Viettel (15.5 puntos más $78,750). Este es el grupo de ciberseguridad de la empresa estatal de telecomunicaciones de Vietnam, la más grande del país.
EL REINO UNIDO CAMISETA AMARILLA DE PWN2OWN (AUNQUE SOLO EL TEXTO ES AMARILLO)
¿Quién no fue hackeado?
Curiosamente, los ocho productos que no fueron pirateados fueron los que tenían las mayores recompensas.
Los teléfonos de Apple y Google, con un valor de $ 200,000 cada uno (más un bono de $ 50,000 por acceso a nivel de kernel) no fueron violados.
Del mismo modo, los hubs domésticos de $60,000 cada uno de Meta, Amazon y Google se mantuvieron a salvo, junto con los altavoces de $60,000 cada uno de Apple, Amazon y Google.
La única recompensa de $ 60,000 que se pagó fue la ofrecida por Sonos, cuyo altavoz fue atacado por tres equipos diferentes y golpeado cada vez. (Solo el primer equipo tenía una cadena única de errores, por lo que fueron los únicos que obtuvieron los $ 60,000 completos).
Igual de fascinante, tal vez, los productos que no fueron manipulados tampoco sobrevivieron a ningún ataque.
La razón más probable de esto, por supuesto, es que nadie se comprometerá a ingresar a Pwn2Own, escribir un informe de calidad de publicación y viajar a Toronto para enfrentar el escrutinio público, transmitido en vivo a sus pares en todo el mundo...
… a menos que estén bastante seguros de que su intento de piratería funcionará.
Pero también está el problema de que hay servicios de compra de errores que compiten con Zero Day Initiative (ZDI) de Trend Micro, y que afirman ofrecer recompensas mucho más altas.
Por lo tanto, no sabemos si los teléfonos y parlantes de Apple y Google, por ejemplo, no se probaron porque realmente eran más seguros o simplemente porque los errores descubiertos valían más en otros lugares.
Zerodio. por ejemplo, afirma pagar “hasta” $2,500,000 por fallas de seguridad de Android de alto nivel y $2,000,000 por fallas en el iOS de Apple, aunque con la delicada condición de que no puede decir qué sucede con el error o los errores que envía .
ZDI, por el contrario, tiene como objetivo ofrecer una vía de divulgación responsable para los cazadores de errores.
El "código de silencio" que los buscadores de errores deben cumplir después de entregar sus informes está ahí principalmente para que los detalles se puedan compartir de forma privada y segura con el proveedor.
Entonces, aunque los vendedores en este Pwn2Own pagó un total de $989,750, según nuestros cálculos…
…son 63 errores completos menos explotables que los ciberdelincuentes y los operadores deshonestos podrían atrapar y explotar para mal.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2022/12/12/pwn2own-toronto-54-hacks-63-new-bugs-1-million-in-bounties/
