-
La ceremonia celebra logros y fallas de los investigadores de seguridad.
-
Tres nominados están directamente relacionados con el mundo de los criptoactivos.
Investigadores del mundo de la tecnología serán galardonados en la nueva edición de los Premios Pwnie, una competencia internacional de ciberseguridad que reconoce el trabajo de investigadores y hackers especializados en este tema. IOTA, los contratos inteligentes de Ethereum y la cartera fría Bitfi han servido para que algunos de los concursantes resultaran nominados.
Hasta tres nominaciones están directamente relacionadas con el ecosistema de criptomonedas. Ethan Heilman y Neha Narula fueron galardonados en la categoría Mejor Ataque Criptográfico, tras haber encontrado una falla en IOTA que permitía forjar transacciones. Por su parte, Bernard Mueller podría ser el ganador de la categoría Investigación más Innovadora, luego de haber hecho una extensiva investigación sobre los contratos inteligentes de Ethereum.
Finalmente, Bitfi podría llevarse el galardón a la Peor Respuesta de Vendedor, luego de que aseguraran que el hecho de que se haya podido rootear su wallet no quiere decir que haya sido hackeada, esto tras la lluvia de críticas recibidas en redes sociales por el monedero.
Pero, ¿qué son estos premios? Se trata de una ceremonia de premios anual para “celebrar logros y fallas de los investigadores de seguridad”, se lee en su web.
El certamen celebra la incompetencia de proyectos y la destreza de los investigadores año a año desde 2007. Mejor bug en el servidor, Mejor bug en el cliente, Mejor Puerta Trasera (backdoor, un método en el que el hacker evade los sistemas de autenticación) y Logro Épico son algunas de las demás categoría sobre el tema.
Las nominaciones se aceptaron hasta el 22 de junio de este año, y las investigaciones pueden referirse a hallazgos de junio del año pasado hasta mayo de 2018.
Los nominados a los premios Pwnie
De acuerdo con la información de las nominaciones, Narula y Heilman encontraron que es posible piratear una función hash dentro del protocolo de IOTA. Así, los investigadores demostraron que es posible forjar transacciones en esta red. Con su método, los fondos pueden ser robados directamente de las carteras de los usuarios. Según los investigadores, esta delicada falla se debe a la implementación de IOTA de su algoritmo hash, Curl.
Esta falla fue descubierta el año pasado y el equipo de IOTA publicó varios posts en su blog sobre el tema. La falla encontrada por los investigadores demuestra que, si bien los vectores de ataque explotables se han minimizado, la función de hash defectuosa aún se usa en la red. Narula y Heilman enviaron los resultados de su investigación a IOTA, demostrando que el “Curl podría romperse utilizando una técnica de criptoanálisis descubierta en la década de 1970”, según la web de Pwnie.
Por su parte, Muller está nominado por su investigación sobre la seguridad de los contratos inteligentes de Ethereum. Titulado Rompiendo Contratos Inteligentes por Diversión y Verdadera Ganancia, el documento presenta una herramienta para el análisis de seguridad de los contratos inteligentes llamada Mythril. Según explica, existe un importante número de vulnerabilidades derivadas de la dependencia de los lenguajes de programación antiguos al crear contratos inteligentes.
Myrthil es su contribución al mejoramiento de la seguridad de los contratos inteligentes creados con Solidity. “Como la complejidad del programa a menudo hace que este tipo de análisis sea poco práctico, este documento postula que la simplicidad de la máquina virtual Ethereum hace que los contratos inteligentes sean aptos para la aplicación en el mundo real del análisis simbólico”, un tipo de ataque que fue muy famoso a finales de los 90 y durante los años 2000.
Finalmente, Bitfi y su monedero “inhackeable”, promocionado por John McAfee. Recordemos que la cartera fue presentada entre bombos y platillos y terminó siendo tendencia en redes sociales debido a su nula seguridad.
El 29 de julio el consultor de seguridad Andrew Tierney afirmó que la cartera fría presentada por McAfee es simplemente un chipset MT utilizado en varios teléfonos del mercado, que no posee elementos visibles de seguridad para la protección de las criptomonedas almacenadas.
La nominación es clara: “varias personas rompiendo el dispositivo. Un video de John McAfee se muestra en pantalla en el dispositivo. Un tweet de Bitfi que afirma que rootear el dispositivo no significa que fue pirateado”, se lee en la web del certamen.
Los resultados del concurso se conocerán en las próximas horas en la conferencia de ciberseguridad BlackHat, que se realiza en Las Vegas.
Imagen destacada de fotobieshutterb / stock.adobe.com