Quando Charlie Miller chegou para tentar invadir o recém-lançado MacBook Air com o OS X 10.5.2 (Leopard) -o mais recente representante da linhagem dos sistemas operacionais que já teve fama de praticamente inviolável-, havia expectativa se ele conseguiria ser o primeiro hacker a vencer o desafio PWN TO OWN 2008. Miller já chamou o desafio de “Superbowl dos hackers”, em alusão à grande disputa do futebol americano.

Era o segundo dia do desafio. No primeiro, com regras mais rígidas, os três sistemas a serem desafiados -OS X, Ubuntu e Vista- passaram incólumes.

Enquanto Miller calmamente conectava seu desgastado MacBook Pro ao fininho Air, cerca de 20 pessoas se postaram à sua frente. Ele tinha 30 minutos para usar uma falha que o permitisse acessar, na vítima, um arquivo escolhido pela organização do evento.
Cerca de três minutos depois, ele disse: “Está feito”, para gritos e aplausos da platéia. “Foi fácil”, mas faltava checar.

Um dos organizadores -aquele que entrou em um site com um código malicioso criado por Miller, como permitia a regra para o segundo dia- sorriso no rosto, verificou aqui e ali. Estava feito.

Miller então teve que assinar um documento garantindo que ele não vazaria as informações sobre o bug antes que a falha utilizada fosse corrigida. Foi divulgado, apenas, que era um problema no Safari.

Miller já sabia o que fazer. “Trabalhei nisso [no bug] cerca de uma semana”, disse ele à Folha. Questionado se esse tipo de concurso não era prejudicial, pois jogava luzes sobre problemas que poderiam ser utilizados por criminosos, Miller respondeu: “Não. Agora a Apple vai conhecer a falha e corrigi-la. Se não fosse assim, ela continuaria lá. Como existem diversos outros bugs para serem explorados.”

Miller, que trabalha na empresa de segurança digital Independent Security Evaluators, é conhecido por ser um dos primeiros hackers a descobrir uma falha que permite invadir o iPhone.

Resta um

No terceiro dia, quando o Air já não estava na disputa, os computadores receberam populares programas desenvolvidos por terceiros -o navegador Firefox e o OpenOffice, por exemplo.

Depois de algumas horas tentando, um trio utilizando um MacBook Pro conseguiu explorar uma falha no Flash e invadir o Windows Vista. Restou intacto o Ubuntu, para a surpresa dos organizadores. Shane Macaulay, que ajudou a invadir o Vista, já havia contribuído para invadir um Mac no ano passado.

Início: setembro/2005
Resultado: houve vencedores
6.000 participantes. Em parceria com a Fuctura Tecnologia

O DESAFIO

A Interpol e a Scotland Yard estão precisando de toda ajuda possível para descobrir uma bomba implantada por terroristas em algum ponto de Londres!

Pode ser numa escola, numa estação de mêtro, em um shopping center ou em um outro ponto turístico.

O terrorista preso se suicidou na prisão e as poucas pistas que se conseguiram levam a um site de um perigoso terrorista:. Ayman Al-Zawahri

Sem conseguir desvendar o caso e com medo que a bomba venha a explodir, repetindo as tragédias anteriores e justamente no mês de setembro, a Interpol pede ajuda aos hackers do mundo inteiro para ajudar a resolver o problema!

Sabe-se que o terrorista morto era fã de jogos e dentro de 2 quebra-cabeças escondeu o local da bomba e a forma de entrar em 2 servidores que contém dados importantes sobre os terroristas envolvidos.

Sua missão é desvendar o caso e encontrar a bomba a tempo. Trabalhe em grupo se for preciso.

IMPORTANTE

Como a quantidade de participantes nos desafios vem aumentando a cada dia, o Desafio IV exige que você faça um cadastro para poder participar.

A vantagem do cadastro é poder acompanhar os resultados dos concorrentes e comparar com o seu. Não é mais necessário enviar e-mails para obter resultados, tudo agora é automático!

A cada fase você já tem os pontos computados e a dica para o próximo nível.

Solução do Desafio IV

SOBRE O DESAFIO

Esse desafio é voltado para todos que queiram testar seus conhecimentos segurança na internet e é totalmente gratuito. Toda a história é uma ficção.

No Desafio IV você luta contra o tempo para desvendar todas as células terroristas que atual na inglaterra enquanto tenta descobrir aonde foi implantado uma bomba para que seja desarmada!

Dois servidores, um Linux e um servidor windows, representando células terroristas, farão parte desse Desafio. Dependendo do seu nível você poderá invadir um ou os dois para concluir o desafio. As pistas estão espalhadas em várias partes e nesse desafio será exigido lógica de programação para que seja completado. Teremos níveis de fácil a difícil para concluí-lo.

Haverá um único vencedor, aquele que conseguir solucionar a última etapa, fornecendo os integrandes do atentado.

Prêmios oferecidos:

1. 1 ano de hospedagem para os 3 primeiros colocados!!
2. 1 Curso de Tecnologias Anti-Hackers, primeiro colocado
3. 1 Camisa do www.invasao.com.br, primeiro colocado
4. 1 Licença do programa KeySpy, primeiro colocado
5. R$ 300,00 em dinheiro oferecido pela Fuctura Tecnologia, primeiro colocado

REGRAS DO DESAFIO

1. Desvendar os terroristas envolvidos;
2. Localizar aonde esta a bomba para desarmá-la;
3. Destruir os servidores utilizados pelos terroristas;

Importante:

• O IP de cada servidor será fornecido no fórum
• Dicas ou dúvidas também serão respondidas na seção do fórum sobre o desafio.
• Foi exigido um cadastro para participar, consulte site

Etapas

Nos dias 23 à 25 de setembro, sexta, sábado e domingo, os participantes tiveram que descobrir as falhas do site e do servidor windows e nos dias 08 e 09 de outubro tivemos a segunda etapa, o servdor linux. No Desafio IV foi lançado um sistema em PHP que informou quem estava na frente e o total de pontos.

Desafios Apresentados:

• Desafio I: Caso Empresa Invadida
• Desafio II: Caso Site de Pedofilia
• Desafio III: Servidor de pedofilia
• Desafio IV: Ataque Terrorista
• Desafio V: O Mensalão
• Desafio VI: Aguarde, sendo formatado

Início: junho/2002
Resultado: sem vencedores
1.000 participantes. Em parceria com a faculdade UNIP e Fuctura Tecnologia

Caso aberto para investigação

É de impressionar a velocidade com que cresce o número de web sites que vinculam fotos e vídeos com imagens pornográficas envolvendo crianças. São sites com imagens de sexo explícito entre adultos e crianças, crianças com crianças, homossexualismo, incesto, torturas, etc… Há inclusive imagens de bebês !

Nos dias atuais há um grande esforço mundial para pelo menos minimizar o problema. A Interpol, por exemplo, realizou recentemente uma investigação em grande escala em conjunto com as polícias de 19 países: Austrália, Bélgica, Alemanha, Israel, Itália, Canadá, França, Japão, Coréia, Holanda, Grã-Bretanha, Portugal, Nova Zelândia, Taiwan, Suécia, Estados Unidos, Turquia, Rússia e Espanha.

Nesse desafio nós temos que encontrar o responsável por um servidor de pedofilia!

HISTÓRIA

O IP do servidor foi fornecido pelo nosso fórum (houve diversos ataques DOS durante na época).

INFORMAÇÕES COMPLEMENTARES

O detetive Jackie Selebi afirmou que o grande problema é que todos os sites e grupos de discussão que apresentam imagens de pedofilia estão disponíveis para o acesso de qualquer pessoa, inclusive crianças. É muito fácil criar um web site. Basta se cadastrar em um serviço gratuito de hospedagem de páginas (Geocities, Tripod, etc…) e em poucos minutos qualquer um pode montar o seu próprio sítio com o conteúdo que quiser, inclusive pedofilia. Com isso, nossas crianças ficam expostas à este tipo de imagens. E se uma cena erótica de adultos já influência uma criança, imagine uma cena de pornografia infantil!

Os participantes terão de entregar a ficha completa dos responsaveis e retirar o site do ar o mais rápido possivel.O Selebi encontrou um arquivo com senha numa operação em Portugal. Já foi analisado o arquivo no passado e o seu conteúdo ajudou nas investigações. Infelizmente os criminosos sumiram sem vestigios por uma preciptação dos agentes. O FBI entrou no caso e foi decoberto o novo site.Não estamos agora atrás de participantes, mas do líder dessa quadrilha.

Desafios Apresentados:

• Desafio I: Caso Empresa Invadida
• Desafio II: Caso Site de Pedofilia
• Desafio III: Servidor de pedofilia
• Desafio IV: Ataque Terrorista
• Desafio V: O Mensalão
• Desafio VI: Aguarde, sendo formatado

Início: janeiro/2002
Resultado: Concluido
680 participantes

Em parceria com a faculdade Marista e com a Fuctura Tecnologia

HISTÓRIA

A empresa Cobras Advogando desconfia que o seu servidor, na matriz de Tocantins, esta com sérios problemas de segurança!

Algumas informações, como as contas de usuários da empresa, vazaram e se encontra em um fórum na internet em poder do hacker!

O invasor invadiu a máquina e criou meios de poder voltar depois. Para isso criou novas contas, copiou arquivos importantes do sistema e escondeu informações importantes (achamos um arquivo deixado por ele)

Você terá que descobrir todas as alterações que o invasor fez no sistema, e depois nos enviar (com as senhas inclusive) para que possamos “apagar” e corrigir o sistema, tornando mais seguro.

O responsável local, Fábio Souza, ainda não conseguiu descobrir e retirar um possível trojan instalado na máquina e pensa em formatar o servidor. Isso vai causar grandes prejuizos!

Chegou até o conhecimento da Fuctura Tecnologia uma carta de auxilio pedindo um teste para avaliar a situação do servidor e o que podemos fazer para sanar o problema.

Por onde começo?

Temos uma história por trás desse desafio. Você também precisa ficar atento para as informações postadas no fórum. Lembramos que tudo depende de o quanto você vai ser rápido, muitos podem ganhar os primeiros 50 pontos, mas a segunda parte é a mais fácil e só haverá 1 vencedor.

Pontos:

1. Achar o server – 5 pontos (o primeiro leva 10 pontos)
2. Descobrir as contas no site – 5 pontos (o primeiro leva 10 pontos)
3. Descobrir o backdoor deixado pelo invasor – 10 pontos
4. Descobrir como se logar com a conta criada pelo invasor – 15 pontos
5. Descobrir como acessar o arquivo secreto que o invasor criou – 15 pontos.
6. Descobrir o hacker, INFORMANDO o seu nome e demais dados – 50 pontos

O problema é que o servidor é iniciado pela manhã, pela tarde e pela noite, então o IP muda! Acreditamos que isso também não vai ser problemas para você porque sabemos qual faixa você deve procurar.

Para controlar o desafio criamos o e-mail especifico para esse desafio.
Atenção: a cada furo descoberto, ou assim que você entrar no servidor, envie um e-mail com o seu nome e nick e detalhes de como encontrou.

Informações Importantes

Segundo a avaliação feita no servidor da Cobras Advogando, temos a possibilidade de encontrar o hacker que invadiu o sistema da empresa!

Isso mesmo, você vai ter que rastrear o hacker e entregá-lo as autoridades! Se ele notar que esta sendo procurado irá destruir todas as informações e será impossível saber o responsável.

Para entrar no servidor você precisa encontrar as 10 contas e senhas. O desafio só será finalizado quando você enviar as informações completas dos envolvidos.

Algumas dicas foram levantadas por nosso instrutor no servidor da empresa:

• O invasor criou novas contas
• O invasor deixou código de porta dos fundos
• O invasor fez cópias importantes de arquivos que quando lidos depois poderiam fornecer informações para um novo acesso privilegiado.- Os logs foram apagados pelo invasor, mas ele esqueceu de um que mencionava um arquivo chamado de “segredos.zip”

A empresa, ao contrário, limitou os recursos acessados quando estamos no shell do sistema. Nenhum compilador, ferramentas como telnet e rlogin, wget, lynx… tudo é impedido.

x –x– x

Desafios Apresentados:

• Desafio I: Caso Empresa Invadida
• Desafio II: Caso Site de Pedofilia
• Desafio III: Servidor de pedofilia
• Desafio IV: Ataque Terrorista
• Desafio V: O Mensalão
• Desafio VI: Aguarde, sendo formatado