Il Pwn2Own è una competizione tra hacker che ha come scopo quello di riuscire a trovare delle falle in specifici software, in particolare browser (Internet Explorer, Mozilla Firefox, Google Chrome e Safari) e smartphone di ultima generazione (BlackBerry, iPhone e dispositivi con sistemi operativi Android e Windows Phone), che in precedenza erano ritenuti o erano stati dichiarati privi di vulnerabilità. Il nome "Pwn2Own" infatti è composto dai verbi inglesi "to pwn", che - presente esclusivamente nel gergo informatico - significa "hackerare" ovvero trovare una falla in un software, e "to own", termine usato in particolare nei videogiochi online per "umiliare" l'avversario sconfitto. La competizione è sponsorizzata dalla TippingPoint e si tiene ogni anno in Canada presso il CanSecWest, conferenza sulla sicurezza informatica.
I vincitori della competizione ricevono il computer o l'apparecchio su cui sono riusciti ad eseguire l'exploit e un premio in denaro, che può arrivare fino alla cifra di 1.000.000$ (offerti dal team di Google nel 2012 a chi fosse riuscito a "bucare" il loro Google Chrome)[1].
La prima edizione del Pwn2Own è stata realizzata nel 2007, ottenendo, di anno in anno, un successo sempre maggiore.
Edizioni
[modifica | modifica wikitesto]2007
[modifica | modifica wikitesto]Il team formato dagli hackers Dino Dai Zovi e Shane Macaulay è riuscito a violare il primo MacBook Pro. Il giorno seguente Macauley spedì un'email la quale reindirizzava l'utente su un sito maligno in grado di infettare il sistema operativo tramite una vulnerabilità di JavaScript consentendo di eseguire codice arbitrario sul computer ad insaputa dell'utente.
2008
[modifica | modifica wikitesto]I partecipanti furono sfidati a trovare un modo per leggere il contenuto di un file situato sul desktop, su uno dei seguenti sistemi operativi: Windows Vista ServicePack 1, Mac OS X Leopard e Ubuntu 7.10. Durante il primo giorno di competizione nessuno riuscì nell'impresa, ma il giorno successivo fu permesso di utilizzare i browser come ulteriore fronte di attacco, così tramite Safari l'hacker Charlie Miller riuscì a trovare un exploit per il Mac, ricevendo in seguito una certa notorietà. Miller era venuto a conoscenza della vulnerabilità già prima della competizione, avendo avuto in tal modo la possibilità di lavorare all'exploit indisturbato.
Al termine della gara solamente Ubuntu ne è uscito illeso.
2012
[modifica | modifica wikitesto]Un giovane, presentatosi come sfidante indipendente e facendosi chiamare "Pinkie Pie", ha scavalcato la sandbox del browser Chrome sfruttando 3 diverse vulnerabilità ricevendo un premio di 60.000 dollari, mentre "Willem Pinckaers" e "Vincenzo Iozzo", sfruttando un'unica vulnerabilità di Firefox versione 10.0.2, sono arrivati ad aggirare le protezioni ASLR e DEP di Windows 7 vincendo 30.000 dollari[2].
2014
[modifica | modifica wikitesto]Nessuno dei browser principali si è salvato: il migliore è stato Chrome con una sola vulnerabilità, seguito da Safari con 2 falle, Firefox con 3 e infine Internet Explorer con 4 vulnerabilità. Anche software come Adobe Reader e Flash non ne sono usciti indenni, per lo stesso Windows sono state riscontrate 5 falle.
La somma totale pagata ai partecipanti è stata 557.500 dollari, di cui quasi la metà è andata al sudcoreano Jung Hoon Lee che è riuscito a bucare vari software tra cui Google Chrome e riuscendo a vincere ben 225.000 dollari. I siti specializzati commentano così il suo operato: "L'attacco è iniziato provando una race condition tramite buffer overflow in Chrome. Per permettere all'attacco di passare i meccanismi anti-exploit come la sandbox e l'address space layout randomization, Jung Hoon Lee ha sfruttato un information leak e una race condition in due driver del kernel Windows, un risultato impressionante che ha permesso all'exploit di ottenere accesso completo al sistema".[3][4]
Il grande sconfitto è stato senza dubbio Internet Explorer, fatto che in realtà non sorprende più di tanto, Microsoft ha infatti deciso di cambiare browser, affidandosi al nuovo "Spartan", che sarà presente in Windows 10, prossimo sistema operativo di casa Redmond.
Note
[modifica | modifica wikitesto]- ^ Google Will Offer $1 Million In Rewards For Hacking Chrome In Contest
- ^ Chrome e Firefox ultime vittime del Pwn2Own
- ^ Al Pwn2Own bucati tutti i browser, Chrome quello con la pelle più dura, su tomshw.it. URL consultato il 24 marzo 2015 (archiviato dall'url originale il 24 marzo 2015).
- ^ All four major browsers take a stomping at Pwn2Own hacking competition
Collegamenti esterni
[modifica | modifica wikitesto]- Sito ufficiale, su secwest.net.