Torna l’annuale conferenza CanSenWest che si svolge a Vancouver dal 7 al 9 marzo e la connessa Pwn2Own, competizione nel corso della quale i partecipanti sono invitati prendere controllo di Mac e PC sfruttando falle dei browser per Internet.
Quest’anno la giuria non si limiterà a premiare l’exploit più veloce, ma ha previsto un sistema a punti per riconoscere creatività e impegno degli hacker. I duellanti potranno tentare più volte gli attacchi ai browser. Dieci punti saranno assegnati agli exploit sfruttabili sin dal primo giorno, mentre gli attacchi del secondo e terzo giorno permetteranno di ottenere bonus minori. Le cosiddette vulnerabilità “0-day” frutteranno ben 32 punti. Ai partecipanti saranno forniti computer con le ultime versioni dei sistemi operativi (Windows 7 e OS X Lion), con applicate tutte le patch di sicurezza disponibili e i quattro principali browser (Internet Explorer, Firefox, Chrome e Safari). Tra i premi in palio: 60.000$ messi a disposizione da HP per il primo posto, 30.000$ per chi arriverà secondo e 15.000$ per il terzo. Per quanto riguarda Chrome, Google offre 20.000$ a chi è in grado di mostrare la possiiblità di eseguire codice malevolo direttamente dal browser scavalcando la sandbox (la tecnologia che costringe il codice a essere eseguito all’interno di determinati spazi, limitando le operazioni che si possono eseguire, a beneficio di maggior sicurezza). Google offrirà anche 10.000$ a chi mostrerà bug del suo browser o con i quali sarà possibile ottenere credenziali del sistema operativo.
Come abbiamo ricordato in altre occasioni, c’è anche chi più volte ha criticato il modo di svolgersi della gara, poiché le debolezze sono generalmente falle che nulla hanno a che fare con i sistemi operativi veri e propri (si sfruttano, ad esempio, falle di Acrobat Reader o del Flash player). Jeff Jones, direttore del Security Group in Microsoft ha qualche anno addietro affermato che la manifestazione semplifica così tanto i problemi da renderla perfettamente inutile e che, in sostanza, non gli importa dei risultati dalla gara: “Se un sistema non viene “hackerato”, non significa per forza di cose che esso è meno vulnerabile; se viene hackerato, si è solo dimostrato quello che già sappiamo: qualunque sistema, in determinate circostanze e condizioni, può essere vulnerabile”. Queste “condizioni” sono accuratamente predisposte dagli hackers che partecipano alla gara: le debolezze dei sistemi operativi sono studiate con mesi di anticipo, pianificando l’attacco con prove e controprove, evitando di divulgare anticipatamente i propri studi e presentando i risultati solo durante la manifestazione al fine di vincere i (ricchi) premi in palio.
Per quanto riguarda l’attenzione spasmodica ai Mac o agli iPhone, si deve considerare l’accurato calcolo mediatico: fa sicuramente molto più effetto annunciare di avere scoperto una vulnerabilità in Mac OS X (considerato nella coscienza comune più sicuro di Windows) o su di un iPhone (il più conosciuto degli smartphone), rispetto a vincere per avere scoperto una falla in un generico PC con Windows o in un comune smartphone. Riuscire a far parlare di sé non è certo un elemento irrilevante del gioco di competizioni come P2n2Own giacché mettersi in luce consente di essere assunti o diventare consulenti in grandi aziende che si occupano di sicurezza informatica.
[A cura di Mauro Notarianni]
