Ocorria pela primeira vez em 2007 a competição “Pwn2Own”. Durante a
conferência CanSecWest, em Vancouver, no Canadá, especialistas em
segurança tinham como desafio invadir sistemas preparados pela Zero Day
Initiative (ZDI). Quem invadisse os sistemas – dois MacBooks – poderiam
levar o notebook para casa, além de um prêmio de 10 mil dólares. Desde
então, os prêmios têm aumentado e, em 2013, há até U$ 3,5 milhões (cerca
R$ 7 milhões) sendo disputados.
Falhas em softwares diferentes têm valores diferentes. Brechas no
Java são as de menor valor. Já a maior parte do dinheiro (US$ 3,14
milhões, em referência à constante matemática “pi”) será fornecida pelo
Google em uma competição que ocorrerá junto a Pwn2Own. Chamada de
“Pwnium”, a competição terá como alvo o Chrome OS, o sistema operacional
do Google usado em seus Chromebooks.
A Pwnium foi criada após um desentendimento entre o Google e a ZDI,
organizadora do Pwn2Own original. Como as regras da edição 2012 não
exigiam que os participantes revelassem todos os detalhes técnicos da
falha demonstrada, o Google fez sua própria competição, tendo unicamente
o navegador Google Chrome como alvo e até US$ 1 milhão em prêmios, com
até US$ 60 mil oferecidos para cada participante que demonstrasse uma
forma de burlar a segurança do navegador.
Este ano, o Google Chrome fará parte da Pwn2Own regular, e o Chrome
OS, que não participa dela, terá a Pwnium. O Google ofereceu até US$ 150
mil (cerca de R$ 300 mil) pela demonstração de um ataque viável contra o
Chrome OS que consiga permanecer no sistema.
Na Pwn2Own, o valor em disputa será de US$ 485 mil, distribuídos em
uma série de categorias. As mais valiosas, que renderão US$ 100 mil ao
vencedor, são o Google Chrome no Windows 7 (também patrocinado pelo
Google) e Internet Explorer 10 no Windows 8.
Invadido não é roubado
As regras da Pwn2Own são simples: os sistemas são preparados pela organização do evento com o conjunto de softwares anunciado. O participante prepara uma página web de ataque. Quando chega sua vez, os organizadores usam o sistema e acessam a página definida pelo participante. Com isso, o participante deve conseguir instalar um arquivo específico no computador, demonstrando que ele conseguiu burlar a segurança do navegador.
Os computadores estarão com todos os softwares em suas versões mais
recentes – que devem ser as mais seguras – e com a configuração de
fábrica. Não é permitido usar brechas já conhecidas e a mesma falha não
pode ser usada duas vezes.
Caso tenha sucesso, o participante leva o prêmio em dinheiro e o
notebook que ele conseguiu invadir. Ou seja, invadido não é roubado. O
participante também é obrigado a revelar todos os detalhes técnicos da
falha para a Zero Day Initiative (ZDI).
A ZDI é uma equipe que monitora e desenvolve soluções de segurança
para a divisão de redes da HP. A ZDI rotineiramente compra informações
sobre vulnerabilidades de pesquisadores, para proteger os clientes de
falhas que nem mesmo os fabricantes ainda conhecem. No entanto, todas as
informações obtidas são compartilhadas com os desenvolvedores de
software, permitindo que eles corrijam as falhas.
Pagando por falhas
A oferta de compensação financeira por informações sobre brechas de segurança ainda é polêmica. Enquanto algumas empresas já pagam pesquisadores – caso do Google e do Facebook – outras, como a Microsoft, resistem. Por enquanto, especialistas podem recorrer a terceiros, como a ZDI ou a iDefense, para vender as vulnerabilidades que descobrirem.
Na Pwn2Own, os valores pagos aumentaram de forma significativa nas
edições recentes. Em 2007, na primeira edição, era até US$ 10 mil. Em
2008, US$ 20 mil. Em 2009, US$ 5 mil, mas era permitido mais de um
vencedor por categoria. Em US$ 2010, o valor total saltou para US$ 100
mil, com falhas em celulares valendo até US$ 15 mil. Em 2011, os US$ 15
mil foram oferecidos, desta vez até para os navegadores.
Em 2012, o valor pago quadruplicou e passou a ser U$ 60 mil, tanto na
Pwn2Own como na Pwnium, então realizada paralelamente pelo Google. Este
ano, o menor valor pago – por falha no Java – é de US$ 20 mil, e o
maior, para uma falha no Chrome OS na Pwnium, é de US$ 150 mil.
O crescimento dos valores cria uma tendência muito forte para uma
abertura ainda maior de programas que recompensem pesquisadores
independentes pelas informações de brechas. Hoje, muitas empresas
esperam que detalhes técnicos de falhas, mesmo as mais graves, sejam
cedidos gratuitamente.
Por outro lado, especialistas podem ter dificuldade para
comercializar informações sobre falhas, pois vender para a pessoa errada
pode colocar milhares ou até milhões de usuários em risco. Diante da
falta de opções, o valor de uma vulnerabilidade seria, aparentemente,
zero.
O “problema” – demonstrado claramente pela Pwn2Own – é que já não faltam opções.
A Pwn2Own e a Pwnium ocorrem durante a conferência CanSecWest, que em
2013 ocorre nos dias 6 a 8 de março em Vancouver, no Canadá.
0 comentários:
Postar um comentário