En lo que podrían ser los $10,000 Dolares más rápidos para Charlie Miller, pues fue el primero en hackear una de tres laptops el pasado jueves en la conferencia de seguridad de CanSecWest en el concurso de hackeo PWN 2 OWN.
Los organizadores ofrecían una Sony Vaio, una Fujitsu U810 y una MacBook como premios a quien fuera capaz de hackearlas y leer los contenidos de un archivo de sistema utilizando un ataque «0day».
Nadie fue capaz de lograrlo el primer día del concurso, pues los concursantes solo podían atacar dichas laptops mediante la red, pero el jueves las reglas cambiaron un poco la permitirles a dichas máquinas acceder a sitios o abrir mensajes de correo electrónico.
Miller, es conocido por ser uno de los desarrolladores que lograron hackear el iPhone el año pasado, lo cual no le tomó mucho tiempo. Tampoco con la MacBook, pues con solo dos minutos logró conducir a los organizadores del concurso a un sitio Web que contenía un código explotable que le permitió ganar control de la computadora, llevándose la alabanza de los espectadores del concurso al ser el primer contenidente en lograr atacar uno de los sistemas presentes.
Como es de esperar, se hizo firmar a Millar un acuerdo en el cuál no se le permitiría discutir a nadie el cómo hizo para lograr la hazaña, no hasta que el auspiciante del concurso, TippingPoint, lo hubiera notificado al proveedor.
Las reglas del concurso decían que Miller podía sacar ventaja únicamente al software que venía preinstalado en la Mac, así que el eror que explotó pudo ser accesado, lo más probablemente, mediante el explorador Safari. El año pasado Dini Dai Zovi, el ganador, utilizó una vulnerabilidad de QuickTime para llevase el premio a casa.
Dai Zovi, como era de esperarse, felicitó a Miller, pues el campeón defensor no participó este año, según él, porque debía ganar alguie nmás.
Más tarde, ese mismo Jueves, los ingenieros ya estaban trabajando en parchar el problema, según comentó Aaron Portnoy, desarrollador de Tipping Point y juez del concurso.
$10,000 dolares podría parecer mucho, pero no tanto para Miller, pues en 2005 ganó $50,000 dolares por un bug de Linux que llevó a una agencia del gobierno.
1 respuesta
[…] primer sistema en caer a merced de los concursantes, fue la que corría bajo Mac, en apenas un par de minutos a manos de Charlie Miller de Independent Security Evaluators el pasado […]