A CanSecWest é um evento anual de segurança conhecido pela competição Pwn2Own, aonde durante três dias hackers tentam invadir computadores através de falhas nos navegadores ou no sistema operacional (Windows, Linux ou MacOS X).
Nos últimos anos os principais navegadores (IE, Chrome, Firefox e Safari) e sistemas operacionais (Windows, Linux e MacOS X) foram invadidos através do uso de novas vulnerabilidades.
E nesse ano não foi diferente: no primeiro dia os navegadores Internet Explorer, Chrome e Firefox foram hackeados impiedosamente!
IE 10, Chrome e Firefox são hackeados
O Internet Explorer 10 foi hackeado pela VUPEN Security que utilizou duas falhas 0-day do navegador que burlaram o sandbox e permitiram invadir o Windows 8.
O Chrome 25 foi hackeado pela MWR Labs, que utilizou múltiplas falhas do navegador e uma falha do kernel do Windows 7 que permitiu invadir o computador ao navegar em uma página web maliciosa.
O Firefox 19 também foi hackeado pela VUPEN utilizando uma falha que burlou a proteção ASLR/DEP do Windows 7
Além disso, o Java foi invadido três vezes por três times distintos de hackers, mostrando que ele continua sendo muito vulnerável.
O Adobe Flash e Adobe Reader acabam de ser hackeados. O Java foi hackeado pela quarta vez.
O iPhone 4S e Samsug Galaxy SIII também foram hackeados durante a competição de dispositivos móveis. A vulnerabilidade do WebKit utilizada para invadir o iPhone também está presente no iOS 6, e o hacker informou que o iPhone 5, iPad e iPod touch também estão vulneráveis.
O Galaxy SIII rodando Android 4.0.4 foi invadido através de duas vulnerabilidades no NFC (Near Field Communication), permitindo que os hackers tivessem acesso aos e-mails, SMS, contatos, agenda, galeria de fotos e várias outras informações.
O Safari não foi invadido pois até o momento nenhum hacker se interessou em atacá-lo.
As regras do evento são claras: os computadores devem estar configurados com as opções default, que é utilizada pela imensa maioria dos internautas, e as vulnerabilidades utilizadas para a invasão devem ser desconhecidas.
Além do desafio, os hackers ganham um polpudo prêmio com a invasão:
US$ 100 mil para quem hackear o Google Chrome no Windows 7
US$ 100 mil para quem hackear o IE 10 no Windows 8
US$ 75 mil para quem hackear o IE 9 no Windows 7
US$ 65 mil para quem hackear o Safari no Mac OS X Mountain Lion
US$ 60 mil para quem hackear o Firefox no Windows 7
Um lado positivo do evento é que as vulnerabilidades utilizadas são reportadas para as empresas desenvolvedoras dos produtos para que elas possam corrigi-las.