Tesla pone a prueba la seguridad de software y hay medio millón de dólares para cualquiera que pueda probar lo contrario en la competencia de Pwn2Own 2020
Equipos de élite de investigadores de seguridad se han reunido y participado en una competencia de piratería conocida como Pwn2Own. Sirve para demostrar la vulnerabilidad de dispositivos y software en uso generalizado, al tiempo que proporciona un punto de control sobre el progreso realizado en seguridad desde el año anterior.
Los concursantes tienen el desafío de demostrar si pueden “vender” software, hardware y servicios populares con éxito. Pwning es una jerga de hackers para tomar el control o poseer en otras palabras. En el último evento Mobile Pwn2Own, celebrado en Tokio a finales de 2019, el Samsung Galaxy S10 fue pirateado dos veces. Este año Tesla será el verdadero desafio con el modelo 3 en Vancouver.
Esta vez las apuestas se han incrementado en la categoría automotriz: el pirata informático que puede evadir las múltiples capas de seguridad que se encuentran en un Tesla Modelo 3 para lograr un compromiso completo del vehículo ganará un premio de USD500,000. Ah, sí, y un nuevo Tesla Model 3 totalmente nuevo.
Adicional, Microsoft también regresa como socio y VMware regresa como patrocinador con sus objetivos Pwn2Own algo más tradicionales. En total, más de USD1,000,000 en efectivo y premios están disponibles para los concursantes, incluido el nuevo auto Tesla.
Esto representa el objetivo más grande en la historia de Pwn2Own. Si alguien puede hacer esto, también significaría 70 puntos totales de Master of Pwn, que es casi insuperable. El título de Master of Pwn es, para los equipos que participan, casi más importante que la recompensa financiera. La persona o equipo, con la mayor cantidad de puntos al final del concurso, obtiene 65,000 puntos de recompensa ZDI, un trofeo, una chaqueta y el respeto de la comunidad de piratería ética.
El año pasado fue el primer año para la categoría Automotriz, y este año Tesla regresa como socio para 2020. Sin embargo aumento el nivel de complejidad para el evento de este año. Los vehículos Tesla están equipados con múltiples capas de seguridad, y esta vez, hay tres niveles.
Para calificar para este premio de “Nivel 1”, la ejecución de código arbitrario deberá lograrse dentro de tres subsistemas Tesla Model 3 diferentes. La compleja cadena de exploits, que involucra vulnerabilidades previamente desconocidas, implicará la entrada a través del sintonizador, Wi-Fi, Bluetooth o módem, para empezar. El exploit tendrá que pasar al sistema de info entretenimiento antes de terminar en la puerta de enlace de flujo de datos central, centro de seguridad conocido como VCSEC o piloto automático para tomar el control completo. Para hacer las cosas aún más difíciles, no se permiten los ataques del navegador man-in-the-middle contra el sistema de info entretenimiento, ni los ataques de relevo de llavero o rolljam.
Si alguien se siente especialmente inteligente, y las competencias pasadas de Pwn2Own sugieren que habrá muchos súper cerebros en la sala, puedes ganar USD200,000 adicionales. Hay USD100,000 para mostrar el control arbitrario del bus CAN de Tesla utilizado para habilitar las comunicaciones del microcontrolador y el dispositivo. También se ofrecen USD50,000 para la “persistencia de la raíz” en el sistema Autopilot que sobrevive a un reinicio y otro para lograr lo mismo con una explotación en el sistema de infoentretenimiento.
Para más información visita Zero Day Initiative o Ponte Geek.