A competição Pwn2Own encerrou sua edição de 2019 em Vancouver, no Canadá, na sexta-feira (22), distribuindo um total de US$ 545 mil (R$ 2,1 milhões) em prêmios para pesquisadores de segurança, ou "hackers do bem", que demonstraram ataques utilizando 19 brechas.
Foram atacados os navegadores Apple Safari, Microsoft Edge, Mozilla Firefox, o sistema Windows, os programas de virtualização VMware Workstation e Oracle Virtualbox e, pela primeira vez na competição, um automóvel: o Tesla Model 3.
A competição é organizada pela Zero Day Initiative, uma divisão da empresa de segurança Tipping Point, hoje pertencente à fabricante de antivírus Trend Micro. Os organizadores definem uma série de alvos e pesquisadores interessados podem se inscrever (individualmente ou em grupos) para tentar realizar ataques. Se tiver sucesso, o participante recebe um prêmio em dinheiro.
A equipe vencedora foi a dupla "Fluoroacetate", formada pelos especialistas Amat Cama e Richard Zhu. Eles foram os responsáveis pelo ataque bem-sucedido no automóvel da Tesla e também por várias outras façanhas demonstradas na competição. A dupla agora é bi-campeã, pois também foi a vencedora na edição da Pwn2Own em Tóquio, em 2018.
Ao todo, Cama e Zhu realizaram seis ataques diferentes, enquanto os demais quatro participantes realizaram um ataque cada. Por esse motivo, eles ficaram na liderança absoluta da competição.
Os detalhes das vulnerabilidades não foram revelados. A Pwn2Own oferece informações técnicas detalhadas apenas para os fabricantes dos produtos envolvidos para que eles corrijam os problemas encontrados em um prazo de 90 dias. Todas as falhas demonstradas na competição precisam ser do tipo "dia zero", ou seja, inéditas.
Na maioria dos casos, os ataques têm consequências graves, como escapar do isolamento de máquinas virtuais — o que é preocupante para as empresas que dependem desses produtos — ou instalar vírus no computador apenas com a visita a uma página web. As consequências do ataque contra o veículo da Tesla, no entanto, são desconhecidas. Sabe-se apenas que o sistema de entretenimento de bordo foi atacado, o que é normalmente considerado de baixo risco.
Cada ataque recompensa os pesquisadores com um prêmio em dinheiro e, em certas ocasiões, com o produto que foi atacado. É essa tradição que dá origem ao nome da competição, que, em tradução livre, significa "hackear para possuir". Por esse motivo, a dupla "Fluoroacetate", que realizou o único ataque contra o Tesla Model 3, também ficou com o automóvel.
O ataque que rendeu o maior prêmio em dinheiro na competição também foi realizado pela dupla: foram US$ 130 mil por um código que encandeou uma falha no navegador Edge, da Microsoft, com uma falha no Windows para obter o controle total do sistema.
Alvos ignorados
Mesmo com os prêmios em dinheiro oferecidos, algumas das categorias disponibilizadas pelo evento ficaram sem nenhum interessado.
Entre os navegadores, isso aconteceu com o Google Chrome — foi o único dessa categoria a não atrair interessados. A categoria de softwares corporativos (que inclui o pacote Office da Microsoft e o leitor de arquivos PDF Adobe Reader) também foi totalmente ignorada. A competição também aceitava ataques contra a Área de Trabalho Remota do Windows, mas esse software também foi deixado de lado, apesar do prêmio de US$ 150 mil oferecido pelos organizadores do evento.
Outros prêmios consideráveis que ninguém levou exigiam ataques contra o ESXi da VMWare (US$ 150 mil) e contra o cliente Hyper-V da Microsoft (US$ 250 mil — a maior cifra do evento).
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]