.
A Pwn2Own pagou quase US$ 1 milhão para caçadores de bugs no evento de hacking de produtos de consumo da semana passada em Toronto, mas o prêmio em dinheiro não foi grande o suficiente para atrair tentativas de crackear o iPhone ou o Google Pixel porque os malfeitores podem obter muito mais de fontes menos saudáveis.
“Estávamos oferecendo nosso prêmio máximo para eles”, disse Dustin Childs, chefe de conscientização sobre ameaças da Zero Day Initiative (ZDI) da Trend Micro.
O concurso planejava doar US$ 250.000 para uma exploração bem-sucedida do iPhone ou do Google Pixel, disse ele Strong The One, em entrevista exclusiva ao final dos quatro dias de evento. “E isso simplesmente não é zeros suficientes para o nível de pesquisa necessário para obter esses telefones”. disse Childs.
“Conversamos com pessoas de diferentes setores sobre a economia de bugs, e algumas das coisas que ouvimos é que, para obter uma exploração do iPhone com clique zero, o preço pode chegar a US $ 15 milhões”.
Enquanto isso, quatro equipes tentaram explorações do Samsung Galaxy e três foram bem-sucedidas, ganhando $ 50.000 como prêmio máximo por hackear os principais smartphones da gigante coreana. Esses também poderiam ser vendidos por muito mais nos mercados criminosos. “Provavelmente são pelo menos US$ 2 milhões a US$ 3 milhões”, disse Childs.
Strong The One não sugere que os pesquisadores de segurança devam vender zero-days por milhões de dólares, em vez de divulgá-los a fornecedores que, esperançosamente, corrigirão as falhas e usarão essas informações para tornar seus produtos mais seguros. Mas o fato de que há muito dinheiro a ser ganho, embora ilegalmente, com a descoberta, exploração e venda de informações de vulnerabilidade para tipos obscuros online não pode ser ignorado.
“Absolutamente, é uma tentação quando você está lidando com tanto dinheiro”, disse Childs. “Especialmente em alguns lugares onde é legal, por exemplo, vender para um corretor de exploração ou alguém vai revendê-lo. Mas o outro lado disso é: uma vez que você segue esse caminho, é muito difícil sair dele.”
A ZDI hospeda o evento de caça a bugs independente de fornecedor há 14 anos e tornou-se parte da Trend Micro quando esse fornecedor de segurança adquiriu o negócio de caça a bugs em 2015. Agora há três eventos Pwn2Pwn separados a cada ano com foco em diferentes classes de produtos : sistemas de controle para consumidores, empresas e industriais.
No ano passado, o Pwn2Own foi responsável por quase 64% de todas as vulnerabilidades divulgadas, segundo pesquisa da Omdia. [PDF].
Este evento mais recente em Toronto foi o maior de todos os tempos, com 26 concorrentes apresentando 66 inscrições ao longo do evento de quatro dias que pagou $ 989.750 por explorações bem-sucedidas em telefones celulares, alto-falantes inteligentes, roteadores, impressoras e dispositivos de armazenamento conectados à rede.
Durante o evento, cada equipe tem três tentativas no palco para demonstrar uma exploração de dia zero. Supondo que tenham sucesso, eles são rapidamente levados para uma sala dos fundos para contar à ZDI como fizeram isso.
Em seguida, o fornecedor é trazido para que os pesquisadores possam divulgar o bug e, nesse ponto, o relógio começa a contar para o fabricante corrigir o problema. A Pwn2Own tem uma política de divulgação de 90 dias e, durante esse período, “esperamos que eles produzam um patch ou divulguemos mais informações sobre ele em nosso site. Os bugs absolutamente não ficam ocultos”, disse Childs.
Neste ponto da história do concurso, a maioria dos fornecedores quer ouvir os detalhes sobre como os pesquisadores encontraram as falhas. Childs disse que eles tendem a seguir uma linha de questionamento semelhante: como você encontrou os bugs? Como você os pesquisou? Qual foi o seu processo de pensamento? “E todos eles disseram: ‘precisamos fazer isso também’.”
Os exploits do Samsung Galaxy estavam entre os destaques deste evento, incluindo um no terceiro dia do concurso, durante o qual o Pentest Limited executou com sucesso um ataque de validação de entrada imprópria em apenas 55 segundos. A fabricante de telefones estava no local em Toronto participando de interrogatórios com os concorrentes de sucesso.
“A Samsung certamente ficou grata por estarmos dando a eles os bugs de uma maneira de divulgação coordenada – que não estamos tornando isso público, que não estamos lançando nenhuma exploração em estado selvagem, que eles estão tendo a chance de corrigi-lo antes seus clientes sofrem qualquer dano causado por essas vulnerabilidades”, disse Childs.
“Obviamente, eles não estão entusiasmados por estarem na sala”, acrescentou. “Houve uma inscrição malsucedida e eles provavelmente ficaram mais felizes com essa divulgação do que os outros quatro. Mas, ao mesmo tempo, eles entendem a importância do evento. Estamos entregando [the exploits] para eles de graça, e eles são gratos por isso.”
Outro destaque do concurso de Toronto foi o Categoria SOHO Smashupque exigia que os concorrentes comprometessem a interface WAN para assumir um roteador doméstico e, em seguida, girar para um dispositivo interno, como um alto-falante inteligente ou uma impressora.
Esse tipo de ataque é especialmente relevante em cenários híbridos e de trabalho em casa, disse Kevin Simzer, COO da Trend Micro. “Talvez o consumidor médio não esteja preocupado com algumas dessas explorações – embora devessem estar – mas posso dizer que os clientes comerciais com os quais lidamos estão definitivamente preocupados”, disse ele. Strong The One.
“Todos nós vivemos em um modelo de trabalho híbrido agora, então essas vulnerabilidades podem penetrar nas redes corporativas com bastante facilidade.”
Ainda assim, permanece o fato de que todos esses concorrentes podem ganhar mais dinheiro vendendo essas façanhas no mercado negro. Então, por que eles escolhem 15 minutos (ou menos) de fama e $ 10.000 (ou mais) na Pwn2Own?
“O dinheiro é obviamente um motivador”, disse Childs. “Se alguém lhe der $ 10.000, isso pode não mudar sua vida, mas certamente muda seu dia. E em certas partes do mundo, isso realmente muda sua vida.”
Outros estão nisso pelo reconhecimento, acrescentou. “Temos muitas pessoas participando que são empresas jovens ou jovens pesquisadores que querem mostrar suas proezas e mostrar que vale a pena contratá-los como consultores.”
Outros ainda parecem ser pessoas genuinamente boas que só querem tornar o mundo um lugar mais seguro.
“Isso vai soar brega e altruísta, mas as pessoas nos dizem que preferem enviar bugs para nós do que vendê-los no mercado de exploits porque querem que os bugs sejam consertados”, disse Childs. “Realmente ouvimos isso dos pesquisadores: sei que estou ganhando menos dinheiro dessa maneira. Mas ainda estou sendo reconhecido porque o bug está realmente sendo corrigido e não explorado.” ®
.
