Linux entra en competición para la Pwn2Own 2017

El décimo aniversario de la Pwn2Own que se celebrará a mediados de marzo en Vancouver (Canada), supone también el debut de Linux, que entrará en competición junto a otros sistemas operativos de escritorio (MacOS Sierra y Windows 10) y todo tipo de software (en ocasiones hardware como móviles también), a los que se desafía en la búsqueda de exploits.

Una competición que sirve para encontrar vulnerabilidades desconocidas hasta este momento y que va acompañada de interesantes premios. El primero concurso de 2007 tenía como objetivo poner de relive la inseguridad de Mac OS X (en aquella ocasión se consiguió infectar el sistema mediante una vulnerabilidad de JavaScript en QuickTime que permitía ejecutar código arbitrario y tomar el control de un MacBook Pro) y ofreció como premio al ganador un laptop y 10 000 dólares.

Para esta edición de 2017 en total están en juego premios por valor de más de un millón de dólares, en 5 diferentes categorías:

  • Virtual Machine Escape (Guest-to-Host): entre los objetivos VMware Workstation ($100 000) y Microsoft Hyper-V ($100 000).
  • Navegadores web y plugins: Vuelve Mozilla Firefox que había sido excluido el año pasado, por lo que nos encontramos los sospechosos habituales: Microsoft Edge ($80 000), Google Chrome ($80 000), Mozilla Firefox ($30 000), Apple Safari ($50 000) y Adobe Flash en Microsoft Edge ($50 000).
  • Aplicaciones de empresa: Adobe Reader, Microsoft Office Word, Microsoft Office Excel, Microsoft Office PowerPoint. A $50 000 el exploit, en cualquiera de los casos.
  • Server side: “Del lado del servidor” es una nueva categoría que debuta en esta edición y lo hace con uno de los más importantes proyectos de software libre. En este caso el objetivo es Apache Web Server ejecutado en la versión de Ubuntu para servidores (Ubuntu Server). Se trata de la categoría mejor pagada $200 000 para el investigador que descubra una vulnerabilidad exitosa.
  • Escalada local de privilegios. Dejamos para el final la categoría con más morbo, donde se miden los principales sistemas operativos en el desktop. Así va el reparto de premios: Microsoft Windows 10 ($30 000), macOS ($20 000) y Ubuntu Desktop ($15 000), este último como representante del sistema del pingüino y el ñu.

Más allá de los premios, es una buena noticia que tanto Linux como el software libre en general sean probados en este tipo de concursos, ayuda a ver el estado de su seguridad y mejorarlo si es posible (siempre podemos decir que si resiste el sistema lo hace Linux en su conjunto y si se produce una carnicería la culpa es por haber seleccionado a Ubuntu y no otra distro…lo digo en broma XD)

Pwn2Own 2017 está patrocinado por la Zero Day Initiative (desde 2016 propiedad de Trend Micro), en su página web encontraréis toda la información sobre el certamen de este año. También el modo de inscribirse y participar, excepto si vives en Cuba, Irán, Corea del Norte, Sudán o Siria. Entonces no.

Imagen | Justin Peterson (CC0 1.0)

10 thoughts on “Linux entra en competición para la Pwn2Own 2017”

  1. jvare says:

    Es bueno que se pruebe un sistema de GNU/Linux, aunque esté limitado a una única distribución como es Ubuntu. Para bien o para mal el resultado siempre ayudará a que en el futuro tengamos unos sistemas de escritorio mas seguros.
    En seguridad lo mejor es no dar nada por supuesto.

  2. D'Artagnan says:

    Lo siento pero a mi lo que me ha dejado desmotivado es que aquellos habitantes de Cuba, Irán, Corea del Norte, Sudán o Siria no puedan participar. No puedo creerlo. ¿Por que?. Nadie es mas que otro por su condición de sexo, raza, color, religión, ideario político etc.

    1. AlexS says:

      Yo creo que el tema viene porque en dichos países internet es vigilado/censurado por el gobierno local. ¿Podría ser el motivo, no?

      1. tannhausser says:

        He actualizado el último enlace para que veáis donde mencionan eso (se me pasó ponerlo antes). Ahí mencionan que se ven obligados por las leyes USA y las restricciones que estas establecen con determinados países.

        Seguro que Trump lo soluciona para la próxima edición 🙂

        1. AlexS says:

          Gracias por la actualización mi estimado Tannhausser. Aprovechando el comentario, te quiero compartir que gracias a ti he resulto mi problema de distrohooper. Mi ya viejita laptop anda volando con Antergos, pero tuvo una experiencia previa con Manjaro. En cuanto me compre una lap mas nuevita, me regreso a Frinjilla con XCFE o MATE. Gracias por tus posts sobre estas derivadas de Arch.

          1. AlexS says:

            Perdón por mi falta de ortografía, donde dice “resulto” quise decir “resuelto” 🙁

          2. tannhausser says:

            Me alegro que te vaya bien, Arch y derivadas suele ser una buena solución para el distrohopping.

            Un saludo y gracias a ti por seguir el blog!

  3. jose1080i says:

    ¿Microsoft Office “World”? ¿Eso qué es? ¿El mundo de Office? Jajaja. En lo referente a la noticia, me alegro que GNU/Linux sea reconocido en esta competición.

    1. tannhausser says:

      olrait! 🙂

  4. Gabriel says:

    Y que pasó con Yandex el navegador Ruso que es excelente, al parecer sólo son productos made in trumplandia (-;

Deja un comentario