En la primera jornada de la competición anual de hacking pwn2own versiones actualizadas de Safari, Internet Explorer 8 y Chrome fueron puestas por turnos a merced de los expertos reunidos en la conferencia de seguridad CanSecWest, tal como comentan nuestros compañeros de Bitelia. Los dos primeros sucumbieron en cuanto fueron sometidos a los ataques, pero el navegador de Google terminó el día sin que nadie se hubiera atrevido a intentar infiltrarlo. El objetivo era conseguir la ejecución de código arbitrario, demostrada al lanzar la calculadora estándar del sistema operativo, y saltarse el sandbox de seguridad creando un archivo de texto en el escritorio. De conseguirlo, el ganador se llevaría el ordenador comprometido y un premio en metálico. La información sobre las vulnerabilidades explotadas no se hará pública hasta que los desarrolladores de los respectivos navegadores hayan tenido ocasión de solucionarlas.
El primer turno ha sido para Safari 5.0.3 bajo Mac OS X 10.6.6 con las actualizaciones al día, ejecutándose en un MacBook Air que se ha llevado de premio la firma francesa VUPEN al conseguir completar con éxito el ataque en apenas cinco segundos... y dos semanas de preparación, claro. Aunque Apple sacó ayer mismo la versión 5.0.4 de su navegador las reglas de la competición congelan las actualizaciones del software una semana antes del evento, aunque para llevarse también el premio en metálico es necesario que las vulnerabilidades explotadas no hayan sido solucionadas en la última revisión. Por fortuna para los expertos el ataque que habían preparado sigue funcionando a pesar de los fallos corregidos ayer, así que se han podido embolsar los 15.000 dólares del premio.
Internet Explorer 8 fue el segundo en subir a la palestra y caer derrotado al primer intento por Stephen Fewer de Harmony Security, que tardó cinco o seis semanas en preparar su ataque. Al igual que en el caso del equipo francés y de Safari, el investigador tuvo que combinar varias vulnerabilidades y desarrollar sus propias herramientas para explotarlas. Las técnicas de protección a nivel de sistema operativo son cada vez más fuertes, con técnicas como Data Execution Prevention (DEP) y Address Space Layout Randomization (ASLR) hacen mucho más difícil aprovechar los fallos de programas individuales, en este caso los navegadores. Por supuesto que alguien con conocimientos y determinación podrá hacer caer todas las barreras, pero la tarea es mucho más complicada que hace unos años.
También el navegador de Google corriendo en un portátil Cr-48 con ChromeOS tuvo su turno frente a los ataques de los expertos, pero el primer registrado no se presentó y el segundo declinó participar para preparar su ataque contra BlackBerry en la siguiente jornada. Quizás el hecho de que Chrome también fuera actualizado ayer hizo desistir a los participantes si las vulnerabilidades que pensaban utilizar ya habían sido solucionadas. El navegador de Google nunca ha sido atacado con éxito en los tres años que se lleva celebrando esta competición, una de las razones que me han llevado a usarlo en todos mis sistemas. En los próximos días le llegará el turno a Firefox y a los navegadores de iPhone, Blackberry, Android, y Windows Phone 7.
Foto: Eric McGregor