www.MegaLab.it

"Pwn2Own" (gioco di parole che suona più o meno "conquista per possedere") è una gara molto particolare nella quale i concorrenti sono tenuti a violare la sicurezza di un calcolatore completamente aggiornato con tutte le ultime patch semplicemente facendo leva sul navigatore web. Chi riesce per primo a compromettere il sistema aggredito, vince sia un premio in denaro, sia il calcolatore stesso.

L'originale sfida si tiene nel corso della manifestazione "CanSecWest", appuntamento che si svolge annualmente a Vancouver e che riunisce i maggiori esperti mondiali in campo di sicurezza informatica applicata.

Durante la prima giornata di Pwn2Own, quasi tutti i principali browser sono risultati vulnerabili: stando a quanto riferito da PC Magazine, sono stati necessari solo pochi secondi per eseguire codice (e quindi prendere pieno controllo dell'elaboratore da remoto) su di un Mac equipaggiato con Safari.

Poco di più hanno resistito il nuovissimo Internet Explorer 8 e Firefox, anch'essi compromessi senza troppi problemi nonostante fossero in esecuzione sul venturo Windows 7.

Come parte del regolamento del concorso, gli autori non rileveranno i dettagli tecnici sulle vulnerabilità: sarà infatti Tipping Point Security, fra gli organizzatori della manifestazione, a coordinarsi con le singole software house coinvolte per arrivare alla distribuzione delle opportune patch al più presto.

A lasciare ulteriormente perplessi è il fatto che i navigatori sono risultati vulnerabili nonostante non fossero installati plug-in o software di terze parti in grado di ampliare la superficie d'attacco: durante la prima giornata infatti, i concorrenti sono chiamati ad attaccare browser web nella loro configurazione di default, senza Flash, Java, QuickTime o quant'altro affianchi una installazione standard su una qualsiasi postazione "di produzione".

I plug-in vengono infatti installati solo durante la seconda giornata, per poi arrivare alle terza durante la quale i calcolatori sono equipaggiati anche con software popolari come Adobe Reader e simili.

A sopravvivere alla prima ondata di aggressioni è stato solo il Chrome di Google, mentre Opera Browser non era previsto dal regolamento del concorso. A quanto pare, a salvare Chrome è stato il sistema di isolamento (sandbox): nonostante i cracker abbiano rintracciato alcune debolezze infatti, non sono stati in grado di sfruttarle proprio a causa di tale meccanismo.

A rivelarlo è stato Charlie Miller, l'hacker responsabile del crack di Safari su Mac, nel corso di un'interessante intervista rilasciata a ZdNet.

Nel corso della stessa, Miller ha confessato di aver utilizzato un secondo exploit che aveva approntato già l'anno scorso, ma che poi non aveva utilizzato poiché la manifestazione paga solo una singola violazione. Il lungimirante esperto ha preferito risparmiare l'exploit e monetizzare il proprio lavoro durante la competizione di quest'anno.

L'hacker non ha risparmiato nemmeno alcune dichiarazioni che faranno sicuramente scaldare gli animi dei supporter Apple. "Violare Safari su Mac è davvero molto semplice. Le funzionalità che Windows offre per rendere il sistema operativo più sicuro" - ha sottolineato l'esperto - "la piattaforma Mac non le ha. Craccare un Mac è molto, molto più facile.".