PWN to OWN: Desafío hacker a los tres principales SO

[yiTaN!]

Estos días se ha estado celebrando un importante desafío de hacking para comprobar la seguridad que muestran los actuales sistemas operativos domésticos y, por fin, ya se conocen los resultados:

Y después de 3 días ha terminado el desafío de hacking PWN to OWN donde diferentes equipos de personas tenían la misión de atacar los sistemas operativos para hacerse del mismo. Los tres S.O. que concursaban eran:

MAC OS X sobre una Apple Mac Book Air

Windows Vista Ultimate SP1 sobre una Fujitsu U 810

Ubuntu 7.10 sobre una Sony Vaio

Durante el primer día del certamen y debido a las reglas muy estrictas ninguno de los tres pudo ser vulnerado.

Al segundo día ya se permitieron ataques a aplicaciones que vienen por defecto en el sistema y MAC OS X no resistió un ataque aparentemente hecho por medio de una vulnerabilidad en Safari.

Ya en el tercer día se podían usar aplicaciones de terceros para facilitar los ataques y fue ahí cuando el que no pudo resistir el ataque fue el Widows Vista, que según se comenta se han aprovechado de una vulnerabilidad en Flash para el hackeo.

Si bien el objetivo de este tipo de eventos no es medir la seguridad de los sistemas operativos sino informar y descubrir vulnerabilidades para que los desarrolladores las reparen, el modesto, gratuito y libre Ubuntu fue quien ganó el torneo, ya que nadie pudo explotar una vulnerabilidad de forma satisfactoria en ninguno de los tres días del evento.

Resumiendo un poco:

Primer día: Reglas estrictas. No se puede acceder a través de aplicaciones, y nadie pudo conseguir vulnerar la seguridad de los sistemas.
Segundo día: Se permite el uso de las aplicaciones instaladas por defecto en el sistema. Es en este día cuando cae Mac OS X por culpa de una vulnerabilidad en su navegador Safari.
Tercer día: Se permite entonces el uso de aplicaciones de terceros (es decir, no instaladas por defecto en el sistema). Este siempre ha sido el principal fallo de los sistemas operativos de Microsoft y ha quedado demostrado que así sigue siendo, pues es entonces cuando cae Windows Vista SP1, aprovechando un agujero de seguridad en el Adobe Flash.

De esta forma, tras los tres días de competición, el sistema operativo basado en Linux Ubuntu 7.10 ha sido el único que ha permanecido inaccesible a los ataques de los hackers congregados al evento.

Turno ahora para los comentarios

[PRAVS]

No se yo...un virus en un mac? eso es mas dificil que ver a beckham por las coloradas creo yo.

[yiTaN!]

No se yo...un virus en un mac? eso es mas dificil que ver a beckham por las coloradas creo yo.

Yo me he movido entre bastantes SO y te puedo asegurar que un virus bien hecho puede funcionar en MAC, y lo mismo pasa con virus para Windows y otros para Linux.

La diferencia es el trato que los SO dan a los usuarios. Mientras que Windows te da total control del PC, MAC (creo recordar que así era, corríjanme si me equivoco) y Linux te obligan a introducir tu contraseña para hacer pasar por un filtro a todo tipo de aplicaciones peligrosas.

Además, Linux tiene una GRAN ventaja sobre MAC y Windows. Y es que la cantidad de desarrolladores que tiene es muchísimas veces más que la de Windows o MAC. Y es que cualquiera, al ver un fallo, puede reportarlo, y la comunidad es la que se encarga de arreglar el fallo inmediatamente. Esa es la filosofía del software libre, y tarde o temprano, con un poco de suerte, se acabará imponiendo.

Sin embargo, MAC y Windows, para publicar actualizaciones del SO necesitan más trabajo de sus propios desarrolladores y pasar por más filtros protocolarios de los necesarios. Válgase como muestra, la siguiente noticia publicada no hace mucho:

No quick fix for Windows Home Server bug
Posted by Mike Ricciuti | 13 comments

Back in December, Microsoft dutifully notified the (few) people using its Windows Home Server software that a bug in the product could corrupt files.

Typically, when Microsoft posts a bulletin outlining specific problems in its products, as it did in this case, a fix is usually right around the corner.

Not so for Windows Home Server. According to a bulletin posted this week, the bug will not be fixed until June, when the company posts a patch. That means, in essence, Windows Home Server will be on the market for a year before the fix comes.

When certain programs such as Vista Photo Gallery, Microsoft Outlook, and Intuit QuickBooks are used to edit or transfer files that are stored on a server running Windows Home Server that has more than one hard drive, the files may become corrupted, Microsoft said.

Granted, the problem should affect only a small number of the few servers actually running the software. In January, Microsoft's Steven VanRoekel told CNET News.com's Ina Fried that the product's sales have exceeded the company's expectations, though he declined to give specific numbers.

"It's definitely tens of thousands," VanRoekel said at the time.

A post in the Windows Home Server team blog indicates that the problem has been found and acknowledges the tardy response, but doesn't really explain the delay:

From the outside looking in, some people would say "Why is this taking so long?" Fixing this issue is the Windows Home Server team's top priority and the team is making good progress on the fix. We understand the issue really well at this point--it is at an extremely low level of the operating system and it requires thorough testing to ensure that the fix addresses the issue. We have coded a part of the fix which is currently being tested internally. Internal testing is expected to continue for at least several more weeks.

As ZDNet blogger Adrian Kingsley-Hughes notes, that response will do little to boost confidence in--or sales of--the product:

...a patch needs thorough testing, but there's no excuse for releasing a file server OS containing such a critical flaw, and there's no excuse for a fix to take so long, leaving users in the lurch in the interim.

Microsoft and market analysts have noted that Windows Home Server will remain a tough sell for some time to come. The product is targeted at consumers as a way to simplify accessing music, video, and digital photos from any home PC.

Few people, outside of Bill Gates and some optimistic analysts, expect more than token sales for at least a few years. One problem: few consumers really understand what a server is, much less why they would need one in their home.

Out-of-the-box data corruption and a tardy fix for the problem will all but guarantee niche status.

Resumiendo un poco, lo que comenta en el artículo es que el Windows Home Server tiene un grave bug (un fallo interno del programa) que puede llegar a provocar que los sistemas de ficheros queden corruptos (hablando en plata: jodernos el contenido del disco duro). Sin embargo, desde Microsoft responden con que no publicarán el parche hasta Junio. Esto, en una distribución Linux activa como puede ser Ubuntu, es completamente impensable.

Por ello, pienso que solamente la exclusividad (y cabezonería) de algunos desarrolladores son los que han hecho, y hacen, que el paso al software libre parezca más difícil de lo que realmente es.

Saludos y perdonen por el tochazo

[PRAVS]

ese tipo de concursos estan pagados por Microsoft.
Nunca en mi vida y eso que tengo un mac y varios amigos mios tambien y gente de mi familia, pero nunca han metido un virus en mac.