CanSecWest: Apple MacBook Air y Adobe Flash son vulnerables

Ha terminado la conferencia de seguridad informática CanSecWest que se llevó a cabo en la ciudad de Vancouver, BC, Canadá. En la conferencia, que duró tres días, se realizó una serie de concursos de seguridad informática que alentaban a los participantes a encontrar nuevas vulnerabilidades atacando un ordenador.

Los ganadores del concurso del día se llevaban el ordenador comprometido y una suma de dinero que variaba según el reto.

Primero, los participantes debían escoger a su víctima: un Apple MacBook Air que funciona con OS X 10.5.2, un SonyVaio VGN-TZ37CN con Ubuntu 7.10 o un Fujitsu U810 con el sistema operativo Vista Ultimate SP1.

Después, los hackers debían aprovechar una nueva vulnerabilidad del ordenador. Todos los ordenadores estaban al día en sus actualizaciones.

El primer día se ofreció un premio de $20.000 a quien pudiera comprometer la seguridad de un ordenador atacando sólo su sistema operativo. Nadie pudo hacerlo.

El segundo día se permitió a los participantes aprovechar aplicaciones predeterminadas para lanzar sus ataques y persuadir a los usuarios para que abrieran sitios web maliciosos y correos electrónicos infectados. Ese día, un grupo de hackers ganó $10.000 y un ordenador por aprovechar una vulnerabilidad en el navegador Safari 3.1 del MacBook Air.

Los ganadores, Charlie Miller, Jake Honoroff y Mark Daniel “engañaron” a los miembros del jurado para que ingresaran a un sitio malicioso que infectó al Mac con un código nocivo. La vulnerabilidad de Safari permitió a los hackers tomar el control del ordenador.

El tercer y último día de la conferencia las reglas dejaron de ser tan estrictas. Esta vez, los participantes podían atacar un ordenador aprovechando una vulnerabilidad en cualquier programa que el jurado considerara “común”.

Los ganadores aprovecharon una vulnerabilidad en el programa Flash de Adobe del ordenador portátil Fujitsu.

Shane Macaulay, Derek Callaway y Alexander Sotirov, los ganadores del concurso, se llevaron a casa el ordenador y $5.000.

Las reglas del concurso obligaron a los ganadores a firmar un documento en el que se comprometían revelar los detalles del ataque sólo a las empresas involucradas. Así, los usuarios malintencionados no pueden copiar los ataques y las empresas pueden mejorar la seguridad de sus productos.