Todo listo para el Pwn2Own y los 645.000 dólares en premios
Por primera vez este año se convoca al reto “Exploit Unicorn”, que premiará una cadena de múltiples exploits y obtener una ejecución con Microsoft EMET activado.
Hewlett-Packard Zero Day Initiative (ZDI) anunció ayer las reglas de su concurso de hacking, el Pwn2Own, que se celebrará el próximo mes de marzo en Vancouver, en el marco de la conferencia de seguridad CanSecWest.
Y lo primero es lo primero, el premio. Pwn2Own pone sobre la mesa un total de 645.000 millones de dólares para los que sean capaces de hackear los navegadores y plug-ins más destacados.
ZSI es el programa de recompensas de HP desarrollado por su división Tipping Point, un fabricante de sistemas de prevención de intrusiones y firewalls para redes corporativas.
Los participantes tendrán que mostrar exploits contra vulnerabilidades no conocidas en Google Chrome, Mozilla Firefox, Microsoft Explorer y Apple Safari del lado de los navegadores, o Adobe reader, Adobe Flash u Oracle Java del lado de los plug-ins más populares. Se trata del mismo software con el que los expertos de seguridad tuvieron que trabajar el año pasado.
En cuando al reparto de los premios, el primero en hackear Chrome o IE11 en Windows 8.1 recibirá 100.000 dólares; 75.000 dólares recibirá aquel de muestre su destreza con Adobe Flash o Reader funcionando sobre IE11, y el premio cae hasta los 30.000 cuando se trata de Java. Detectar y demostrar cómo explotar fallos desconocidos en Safari (65.000 dólares) y Firefox (50.000 dólares), también tiene premio.
La novedad del Pwn2Own de este año es lo que HP ha bautizado como “Exploit Unicorn”, que busca premiar una cadena de múltiples exploits que permitan hackear no sólo IE11 en Windows 8.1, sino obtener una ejecución de código a nivel de sistemas cuando el Microsoft Enhanced Mitigation Experience Toolkit, o EMET, esté habilitado. EMET es una utilidad que se ha estrenado en la última versión de Windows y que permite activar tecnologías antiexploit como ASLR (address space layout randomization) o DEP (data execution prevention) para aplicaciones específicas.
Este año –el octavo que se celebra este evento, volverá a optar por la suerte para determinar el orden con el que los expertos optan a por el premio. Cada investigador, o grupo de investigadores tendrán 30 minutos para demostrar su exploit, y si tienen éxito se llevarán el premio.