Se você ainda acredita que existe algum software que pode ser considerado invulnerável, eu lamento em dizer que você vive no paraíso dos bobos.
A invulnerabilidade de software não existe, e eventos como o Pwn2Own existem para mostrar isso de forma muito clara. Hackers de todo o mundo dedicam parte do seu tempo em uma competição cujo único objetivo é explorar a vulnerabilidade dos programas que utilizamos todos os dias, além de testar a integridade de ferramentas avançadas que podem ser violadas por mentes mais habilidosas.
Neste artigo, vou compartilhar com você os principais detalhes do Pwn2Own 2023, dando ênfase para a queda do mito da vulnerabilidade e fragilidade dos softwares disponíveis neste momento no mercado.
Sobre o Pwn2Own
O Pwn2Own é um evento anual que testa a segurança de sistemas operacionais, navegadores web, aplicativos, servidores e carros autônomos. É uma verdadeira festa para os melhores hackers do planeta, que tentam encontrar vulnerabilidades críticas em um ambiente controlado, para que os provedores possam melhorar a segurança de seus desenvolvimentos antes que possam ser explorados.
Com a participação dos melhores white hat hackers do planeta e pesquisadores de segurança de alto nível, o Pwn2Own é uma competição muito disputada, onde a criatividade e a inteligência são postas à prova.
Categorias do Pwn2Own
O Pwn2Own inclui categorias importantes como virtualização, servidores, aplicativos e comunicações empresariais, além de uma categoria automotiva que começou com os Teslas como protagonistas e que regressou nesta edição pela importância que a condução autônoma e o automóvel conectado irão adquirir no futuro.
Como estreia deste ano, o sistema macOS foi adicionado na categoria Escalação de Privilégios Locais e o DNS (vital para o funcionamento da Internet e da computação em nuvem) na categoria de servidores.
A criatividade dos hackers é posta à prova em cada categoria, e os provedores de software podem encontrar falhas e melhorar sua segurança antes que possam ser explorados por cibercriminosos.
Os principais destaques do Pwn2Own 2023
Nesta edição de 2023, praticamente nenhum tipo de software resistiu aos participantes, que revelaram 27 bugs críticos de dia zero (vulnerabilidades desconhecidas sem correção) e ganharam um total de pouco mais de US$ 1 milhão e um Tesla Model 3.
A festa começou com os principais sistemas operacionais em teste, Windows 11, macOS e Ubuntu Desktop, sendo hackeados já no primeiro dia. O sistema de infoentretenimento do mencionado Tesla Model 3 também foi comprometido, e o próprio carro se tornou o prêmio para quem conseguiu superar os seus sistemas de defesa.
Em um ataque bem-sucedido ao Adobe Reader e outro contra a máquina virtual VirtualBox da Oracle, os participantes mostraram toda a sua habilidade. A virtualização é uma técnica muito importante na computação atual, e a gigante VMware voltou ao evento como patrocinadora. O software WMware Workstation foi hackeado no último dia do concurso.
A equipe Synacktiv foi declarada Master do PWN, ganhando por muita diferença mais de meio milhão de dólares e um carro Tesla Model 3. Os hackers mostraram seu nível de conhecimento e ajudaram a melhorar a segurança do computador.
Premiação
Os participantes do Pwn2Own concordam em entregar toda a pesquisa de forma privada e não torná-la pública em um período mínimo de 90 dias. Em troca, as empresas que ofereceram os seus softwares para testes distribuem prêmios suculentos.
Um bom investimento tendo em vista que este evento conta com a participação dos melhores white hat hackers do planeta e pesquisadores de segurança de alto nível que antecipam o que pode vir do cibercrime, reforçando a segurança de softwares, dispositivos e na vida virtual de todos nós.
Carros conectados não escaparam da mira dos hackers
A categoria automotiva ganhou destaque desde sua estreia em 2018, quando hackers conseguiram assumir o controle do sistema de entretenimento de um Tesla Model 3. Este ano, os hackers exploraram vulnerabilidades em sistemas de condução autônoma e acesso remoto em veículos conectados.
Uma equipe conseguiu assumir o controle remoto de um veículo através de uma vulnerabilidade no software de um fornecedor terceirizado. Outra equipe conseguiu assumir o controle do sistema de condução autônoma de um carro.
Esses ataques são preocupantes, já que carros conectados e sistemas de condução autônoma serão cada vez mais comuns no futuro próximo.
Conclusão
O Pwn2Own é uma competição importante para mostrar o quão vulneráveis nossos sistemas ainda são e o quão importante é melhorar a segurança do software. As empresas premiam os hackers por descobrirem essas vulnerabilidades em um ambiente controlado, o que lhes dá a oportunidade de corrigir as falhas antes que sejam exploradas por criminosos cibernéticos.
Este ano, a competição mostrou que quase nenhum tipo de software está imune a ataques, desde sistemas operacionais até softwares de condução autônoma em carros conectados. É uma lembrança importante de que precisamos ser diligentes em relação à segurança cibernética em todos os aspectos de nossas vidas digitais e que a colaboração entre hackers e empresas é fundamental para tornar nossos sistemas mais seguros.
Por fim, não podemos deixar de mencionar o humor presente na competição, que acontece em um ambiente divertido e bem casual, ao mesmo tempo que é uma atividade encarada com seriedade.
O evento em si é uma maneira interessante de envolver a comunidade de segurança, promovendo a melhoria da segurança do software.