É necessário cuidado ao se avaliar os resultados do evento.
Em Vancouver, apenas o Chrome não foi invadido pelos competidores.
competição de segurança Pwn2Own foi realizada pela primeira vez em 2007 e ocorre anualmente desde então. Abrigada pela conferência Pwn2Own em Vancouver, no Canadá, e organizada pelo projeto Zero Day Initiative (ZDI) da TippingPoint, ela incentiva especialistas a explorarem brechas em sistemas operacionais e navegadores web.
Quem conseguir a façanha leva o computador invadido, um prêmio em dinheiro e outras regalias. Neste ano, “caíram” na competição os computadores com Windows 7 com os navegadores IE8 e Firefox, o MacOS X com Safari e também o iPhone 3GS. Mas será que o resultado da competição indica que esses softwares são inseguros? Confira a análise da coluna Segurança para o PC.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Não é correto observar apenas os resultados da competição para encontrar algum significado. É preciso considerar o todo e entender como a competição ocorreu. Aí se percebe que os sistemas que ficaram “impenetráveis” nem mesmo foram atacados, que poucas pessoas participaram da competição e que, portanto, ela não foi abrangente o suficiente.
Falta de competidores
Todos os participantes da competição foram vencedores. A Pwn2Own 2010 foi bem diferente da Pwn2Own 2007 – a primeira edição –, em que os competidores correram contra o tempo para conseguir encontrar uma brecha ou uma maneira de explorá-la. Especialistas previram que se a competição fosse novamente realizada, a tendência seria a de que os competidores chegariam à competição com o código pronto e testado, bastando executá-lo para vencer. E essa é exatamente a situação hoje.
Quem venceu em qual computador foi questão da ordem na qual competiram que foi definida por sorteio. Um pesquisador anônimo iria tentar o iPhone, por exemplo, mas o celular da Apple foi invadido antes pela dupla Vincenzo Iozzo e Ralf Philipp Weinmann.
Charlie Miller ficou com o Safari no MacOS X, vencendo pelo terceiro ano consecutivo no Mac. Nils também iria competir no Safari, mas não pode fazer isso após a vitória de Miller. Ele então ficou com o Firefox no Windows 7. Peter Vreugdenhil invadiu o IE8 no Windows 7, também tomando o lugar de um pesquisador conhecido como MemACCT.
Só não venceu, portanto, quem não pode participar. Alguém iria tentar invadir um Nokia rodando Symbian, mas o competidor sumiu.
Tudo isso aconteceu no primeiro dia. No segundo e no terceiro dia, ninguém apareceu para competir.
Ficaram “de pé” na competição o PC com Windows e Chrome, do Google, o HTC Nexus One com o sistema operacional Android, um BlackBerry e um Nokia com o sistema Symbian. Mas o detalhe é que nenhum deles foi atacado.
Sobre a sobrevivência do Chrome, a ZDI disse que o resultado não indica que o navegador é mais seguro. O fato é que ninguém quis participar. A empresa teria informações de que especialistas estavam cientes de falhas no navegador, mas decidiram não utilizá-las.
É preciso considerar, portanto, que os sistemas que não foram comprometidos na verdade nem foram atacados. Faltou qualquer interesse.
Igualdade de condições
Por outro lado, a Pwn2Own coloca todos os sistemas em condição de igualdade. Não importa qual tem mais relevância no mercado ou qual a remuneração no submundo por invadir aquele sistema. Na Pwn2Own, o prêmio e as regras são sempre as mesmas.
A maior prova disso são os Macs. Na primeira competição, em que apenas Macs estavam disponíveis, o computador já foi invadido por meio de uma brecha descoberta por Dino Dai Zovi. Desde então, o computador com Mac foi invadido em todas as edições seguintes, sempre pelo pesquisador de segurança Charlie Miller.
A situação dos Macs na web, porém, difere dessa mostrada pela competição. Não se tem notícia de nenhuma exploração massiva de brechas no MacOS X. Isso, ainda, é um “privilégio” do Windows, por mais que a exploração de falhas no sistema da Microsoft seja, hoje, mais complexa que no Mac. Entre todas as vulnerabilidades usadas na Pwn2Own, a mais complexa foi a do Internet Explorer 8 no Windows 7, na qual o pesquisador usou técnicas avançadas para burlar as proteções do sistema e do navegador.
Se brechas existem e são de fácil exploração, como mostra a competição, é certo que existe uma questão de segurança que não é simples mérito do sistema. Há outros fatores envolvidos para que essas vulnerabilidades não sejam exploradas.
Mas se nada acontece mesmo na competição, isso significa que até a igualdade de condições não é suficiente para criar interesse para esses sistemas. Às vezes, uma brecha vale muito para ser usada em uma competição. Porque na Pwn2Own, os detalhes técnicos de cada falha passam a pertencer ao ZDI, que organiza o evento. Sendo assim, um pesquisador não pode usar uma falha sem vendê-la – e isso nem sempre é desejado.
Indicação é ambígua
Devido a esses fatores, é difícil avaliar os resultados da competição. É certo que ela derruba alguns conceitos. Por exemplo, é possível constatar que o MacOS X tem brechas que podem ser exploradas para a instalação de vírus via Safari sem interação do usuário, além da visita a um site; os resultados de quatro edições já apontam isso.
Mas ainda não se sabe se o Chrome é realmente seguro ou se apenas não foi atacado.
Em outras palavras, há algo que se pode tirar dos resultados positivos, desde a complexidade da brecha no Internet Explorer, à velocidade de correção do Firefox – a brecha usada na competição foi corrigida na versão 3.6.3, já disponível. Mas é muito complicado tirar alguma conclusão a respeito do que não foi atacado.
Se o celular da Nokia com Symbian não foi invadido na competição, ainda vale lembrar o fato de que o Symbian é a plataforma preferida pelos vírus de celular, por exemplo.
Por esses motivos, a Pwn2Own não deve ser entendida como uma avaliação completa da segurança dos sistemas, mas sim de fatos isolados de sua segurança. Também é importante considerar não apenas resultados, mas o processo inteiro, onde estarão detalhes como a ausência de competidores.
A coluna Segurança para o PC de hoje fica por aqui. Volto quarta-feira (7) com o pacotão de respostas. Até lá, deixe sua dúvida na área de comentários, logo abaixo. Todos os comentários são lidos e considerados para o pacotão.
FONTE/AUTOR: Altieres Rohr para o G1
Comentários Recentes