No existeix el sistema operatiu perfecte. Sempre s'ha dit. De fet, aquest article arriba només minuts després d'un altre en el qual parlàvem d'una vulnerabilitat zero-day que han fet pública fa unes hores. Del que hem de parlar ara és d'una mica menys greu, ja que ha estat en el Pwn2Own 2020 on s'han trobat els últims errors en Windows 10, macOS i Ubuntu. Menys greu en teoria, perquè ara són les companyies les que han de reparar els errors trobats.
El Pwn2Own 2020 ha estat l'edició d'aquest any d'un concurs per hackers d'aquests que els serveix per almenys dues coses: el primer és emportar-se el diners de el premi, i el segon és donar-se a conèixer a el món, el que els permetria trobar una feina que en ocasions pot fer-acabar en una companyia gran com les que acaben de «rebentar».
Ubuntu va ser explotat per la seva nucli en el Pwn2Own 2020
Pel que fa a Linux, va ser el sistema operatiu Ubuntu el que va caure de la mà d'l'equip RedRocket CTF. Aquest equip va trobar un exploit LPE (Local Privilege Escalation) que els va permetre aconseguir accés root. L'equip de hackers es va dur 30.000 $ per la seva gesta. Però altres equips es van dur una mica més de diners per, en teoria, trobar errors més importants o nombrosos.
El primer premi se'l va endur l'equip que va trobar un exploit a Safari per un altre LPE en el nucli de macOS que afectava al seu navegador. L'equip que el va descobrir, Geòrgia Tech Systems Programari & Security Lab, es va dur 70.000 $ pel seu descobriment, més que res perquè l'exploit consistia en un total de sis bugs. L'equip també va aconseguir desactivar la SIP (System Integrity Protection) de el sistema operatiu.
Una mica menys va guanyar l'usuari conegut com Fluorescence, un veterà de Pwn2Own que ús seva bug UAF (use-after-free) per aconseguir privilegis d'escalat de sistema en Windows. Fluorescence es va dur 40.000 $. Un altre programari vulnerat durant el certamen va ser VirtualBox, Adobe Reader en Windows i VMWare Workstation, Aúnque l'últim no es va poder demostrar i no es va emportar cap premi. Els organitzadors sí que van aconseguir explotar la decisió de VMWare Workstation a posteriori, de manera que almenys sí van esmentar a l'equip que el va descobrir.
El certamen d'enguany va ser diferent al d'anys anteriors: es va celebrar en línia a causa de l'Coronavirus. En qualsevol cas, es va tornar a demostrar que cap sistema operatiu és segur com tampoc ho és per a ningú sortir al carrer en aquests moments. Així que, un cop més, direm dues coses: queda't a casa teva i manté la teva sistema operatiu sempre ben actualitzat.
Ubuntu és com Wind * ws. Q és hacker és un secret a veus (només cal googlejar el tema). La seva idea de seguretat és posar un pany alta per a q no li arribin els Petisos. Com el títol deia "Linux" em vaig imaginar un Linux de debò.
Interessant article.
Qualsevol distro que faci servir suo ... està condemnada ... .Fer com a root usant la contrasenya de l'usuari no és bon negoci, diguin el que diguin i opinin el que opinin.