This post is also available in: Português
Windows 10, iOS, Chrome e vários outros não conseguiram evitar invasões. Fabricantes foram notificados pelos organizadores do evento, que deu mais de US$ 700 mil aos vencedores.
Nem sempre a busca por falhas de segurança em programas e sistemas para explorá-las é uma prática criminosa. Tanto é que existem competições nas quais equipes de especialistas em segurança digital duelam entre si, como se fosse um esporte. O objetivo, porém, não é marcar gols ou fazer cestas; é ver quem invade mais softwares em menos tempo.
Nesse contexto, muitos dos principais programas da atualidade foram crackeados usando exploits novos, ou seja, nunca antes vistos. Isso aconteceu na edição deste ano da Copa Tianfu, a maior e mais prestigiada competição do tipo na China.
Realizada na cidade de Chengdu, no centro do país, a terceira edição da Copa Tianfu terminou ontem. “Muitos alvos famosos e difíceis foram atingidos no concurso deste ano”, disseram os organizadores. Invasões bem-sucedidas foram confirmadas contra os seguintes nomes:
- iOS 14 (rodando em um iPhone 11 Pro)
- Samsung Galaxy S20
- Windows 10 (edição de abril de 2020)
- Ubuntu
- Chrome
- Safari
- Firefox
- Adobe PDF Reader
- Docker (Community Edition)
- VMWare EXSi (hypervisor)
- QEMU (emulator & virtualizer)
- TP-Link and ASUS router firmware
Que vença o melhor
Quinze equipes chinesas participaram da edição deste ano. Cada uma teve três tentativas de cinco minutos para invadir um alvo selecionado com um exploit original.
Para cada ataque bem-sucedido, os pesquisadores recebiam recompensas em dinheiro, que variavam de acordo com o alvo escolhido e o tipo de vulnerabilidade.
Todas as explorações serão depois relatadas aos criadores dos softwares, de acordo com os regulamentos do concurso. As regras foram desenvolvidas de acordo com as “leis” da competição de hacking mais famosa de todas, a Pwn2Own, que acontece desde 2007.
Aos fabricantes, é uma oportunidade de melhorar seus sistemas sem que criminosos descubram as falhas antes dos competidores. Aos participantes, além dos prêmios em dinheiro, é um excelente meio de fazer seus nomes ganharem importância no mercado mundial de segurança digital – o que pode inclusive gerar vagas de emprego megaqualificadas.
Bicampeões
Assim como no ano passado, a equipe vencedora veio da gigante chinesa de tecnologia Qihoo 360. Chamada de “360 Enterprise Security and Government and (ESG) Vulnerability Research Institute”, os ganhadores foram responsáveis por quase dois terços de todo o prêmio, voltando para casa com US$ 744,5 mil do total de US$ 1,21 milhão concedido este ano.
Em segundo e terceiro lugar ficaram o Laboratório de Segurança AntFinancial Lightyear e o pesquisador de segurança Pang.
Com o objetivo de ser o “Pwn2Own da China”, o Concurso Internacional Tianfu Cup teve três eventos independentes e paralelos: a demonstração original de vulnerabilidade e concurso de recorrência, o Concurso de produto e o Concurso de sistema. Todas as equipes precisavam usar vulnerabilidades originais para hackear um determinado alvo.
Como consequência negativa, fica a certeza para os usuários finais de que os programas que eles usam todos os dias possuem sérios problemas – a ponto de serem objetos a serem vencidos em competições. E, dessa vez, os softwares todos perderam.
This post is also available in: Português
