Pesquisadores exploraram falhas em TVs, roteadores de internet e dispositivos de armazenamento. Participante observa enquanto organizadores do evento executam código que explora vulnerabilidade em roteador.
Divulgação/ZDI
A competição de segurança Pwn2Own, da Trend Micro, encerrou a sua segunda e última edição de 2020 distribuindo US$ 136.500 (cerca de R$ 730 mil) em prêmios para pesquisadores que demonstraram 23 falhas únicas de segurança.
Os participantes conseguiram realizar ataques bem-sucedidos contra roteadores de internet das marcas Netgear e TP-Link. Eles também violaram a segurança de dispositivos de armazenamento em rede da Western Digital e da Synology. TVs da Samsung e da Sony também sofreram ataques, mas essas demonstrações não foram premiadas porque as brechas já eram conhecidas.
Pelas regras da competição, é necessário usar brechas inéditas para demonstrar um ataque prático contra os dispositivos. As falhas rendem pontos, que determinam o vencedor, e uma premiação em dinheiro.
As informações da vulnerabilidade são mantidas em sigilo e encaminhadas ao fabricante do aparelho ou software para corrigir o erro e imunizar o produto contra o ataque demonstrado.
Sendo assim, as falhas exploradas no evento não colocam os usuários em risco e ainda ajudam a melhorar a segurança dos produtos.
Celulares e caixas de som inteligentes também estavam disponíveis para serem atacadas, mas cada participante tem liberdade para escolher qual dispositivo será atacado, desde que ele seja fornecido pelo evento.
A premiação desta edição foi tímida quando comparada a edições anteriores. O foco dessa vez foi a internet das coisas, o que significa que os alvos mais tradicionais – como os navegadores web e programas de produtividade – não podiam ser atacados pelos participantes.
Especialistas podem participar do evento individualmente ou em grupo. Desta vez, foram 12 inscrições, sendo nove equipes e três participantes individuais. Mas duas equipes não conseguiram demonstrar nenhuma falha com sucesso e pontuar.
Os vencedores foram o Team Flashback, formado por Pedro Ribeiro e Radek Domanski. Eles conseguiram marcar quatro pontos e faturar US$ 40 mil (cerca de R$ 210 mil).
A dupla já havia participado da Pwn2Own em 2019, quando a competição foi vencida pela dupla Fluoracetate, que não participou desta edição.
SAIBA MAIS: Competição paga US$ 315 mil por brechas em televisores, smartphones e roteadores
Pandemia transforma evento em videoconferência
É a segunda vez que a Pwn2Own é realizada pela internet. Suas edições tradicionais são organizadas desde 2007 no Canadá e no Japão, mas a primeira edição digital ocorreu em março após o cancelamento dos eventos de segurança por causa da pandemia do novo coronavírus.
A segunda edição do ano seria realizada em Tóquio. Mas o evento teve transmissão ao vivo de Toronto, no Canadá, país que também é a sede tradicional da competição.
No evento on-line, o participante envia o programa de ataque e as instruções de uso aos organizadores, que tentam realizar o procedimento.
O participante observa por meio de uma videoconferência e presta o auxílio que for necessário para garantir que o programa funcione e o ataque seja bem-sucedido.
A Pwn2Own é organizada pelo Zero Day Initiative (ZDI), um serviço da TippingPoint que paga pesquisadores por informações técnicas de vulnerabilidades inéditas. O ZDI atualmente pertence à empresa de segurança Trend Micro, que adquiriu a TippingPoint em 2015.
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]
VÍDEOS: Aprenda dicas sobre segurança digital