Pwn2Own 2010. Ou, estes browsers são todos uma...

... colecção de aplicações robustas e confiáveis, capazes de resistir às tempestades mais intensas, às trovoadas de bits mais furiosas e violentas da Internet. </sarcasmo> ; )

Agora a sério: Pwn2Own 2010? WTF?!1 Bem, para quem não conhece o concurso, o Pwn2Own é um desafio que se realiza anualmente e cujo objectivo, para os concorrentes, é identificar vulnerabilidades em sistemas operativos e browsers, e explorar essas entradas, explorar efectivamente essas entradas (!) para controlar os sistemas que são os alvos dos testes.

Este ano, passados dois dos três dias do concurso, já foram comprometidas as combinações seguintes:

  • Mobile Safari no iPhone;
  • Safari no Snow Leopard (Mac OS X);
  • Internet Explorer 8 no Windows 7; e
  • Firefox no Windows 7;

Aguarda-se com expectativa a queda do último dos Moicanos, o novo browser da Google, also known as the Chrome : )

Quem quiser conhecer os detalhes do concurso e acompanhar o desenrolar dos acontecimentos, pode começar pelo blog da TippingPoint, e seguir os trinados @theZDI ou a tag #pwn2own, estes últimos no Twitter.

As conclusões até aqui? São três: (i) Todos têm vulnerabilidades; Podem ser mais facilmente exploradas (ou menos), mas todos têm; (ii) Apesar de ser imprescindível actualizar o software com as correcções mais recentes, esse procedimento é insuficiente — vão continuar a existir vulnerabilidades não publicadas; Temos que assumir que vão ser exploradas e reforçar outros controlos para reduzir o impacto (e.g. usar contas sem privilégios); e (iii) Ainda bem que não usamos todos o mesmo browser. Se usássemos, caíamos todos ao mesmo tempo.

(Actualização: O Google Chrome não caiu nesta edição do concurso...)

1 WTF? Abreviatura de uma expressão Inglesa muito popular mas brejeira, que significa, numa tradução mais conservadora e gentil, qualquer coisa como O quê?