Pwn2Own 2014, già violati Firefox, IE, Chrome, Safari durante la prima giornata

Pwn2Own, la gara di hacking contro i principali prodotti consumer come browser, OS e plug-in è già alla sua seconda giornata. La prima ci ha già dato vittime importanti.

Il Pwn2Own è una gara tra hacker per violare la sicurezza di browser e altri software consumer e enterprise ritenuti tradizionalmente la porta principale per prendere il controllo di un sistema operativo. Sponsorizzato da HP, da un lato mette in palio gustosi premi in danaro per i White Hat, dall’altro procura agli sviluppatori un sacco di informazioni utili per tappare le falle - al costo di essere svergognati di fronte al mondo per le proprie falle nella sicurezza.

Due giornate di fuoco


Ogni anno le gare hanno regole diverse e i bersagli passano da browser a plugin, da OS a bersagli mobile. Quest’anno la prima giornata è iniziata con una pioggia di vittime importanti: sono stati violati Firefox, Chrome, IE, Safari e Adobe Flash e Reader.

Otto team di hacker (ricercatori, per essere più politically correct) hanno guadagnato un totale di $850.000, con un nuovo record: il Team Vupen dell’azienda Vupen Security si è portato a casa $400.000 in blocco dopo aver abbattuto Google Chrome, un’impresa che è riuscita solo ad un altro team, che è stato più lento.

In realtà, spiega il CEO Chaouki Bekrar di Vupen, il lavoro non è stato fatto durante la gara. Il team lavorava alle falle di Chrome da sei settimane, e Google ha fatto del suo meglio per tappare i buchi con una patch di sicurezza rilasciata proprio alla vigilia della gara.

BiqoZzbCYAExkcy



    “La sicurezza dei browser è in realtà in aumento. Noi facciamo rapporto sulle vulnerabilità, e le case le sistemano.”

Anche l’organizzatore di Pwn2Own Brian Gorenc della Zero Day Initiative è d’accordo, dicendo che oltre a Google anche Microsoft e Adobe hanno patchato i prodotti in vista della gara. “I vendor stanno cercando esplicitamente di proporre i loro prodotti nella condizione migliore possibile per resistere”

Il rapporto dei “morti e feriti” ci dice parecchio. La stessa Vupen ha rinunciato a hackerare Safari, anche se poi il team cinese Keen Team ci è riuscito. Dei vari gruppi, invece, solo uno ha fallito nel violare Internet Explorer, e non mi risulta che Oracle Java sia stat violato (sarebbe la prima volta?).

L’unico premio che non è stato conquistato è il cosiddetto Exploit Unicorn: un hack molto specifico che richiedeva di violare completamente la sicurezza di Windows 8.1 x64 con IE 11 x64 dotato di Toolkit Enhanced Mitigation Experience (EMET).

Pwnium, per crackare Google Chrome OS


Google premia bene chi la aiuta a migliorare la sicurezza. I premi per penetrare e violare Chrome OS ammontavano a $2.7 milioni - la gara, chiamata Pwnium, si è tenuta “a porte chiuse”, nel senso che non sappiamo quanti siano stati i partecipanti - e di è svolta in contemporanea con il Pwn2Own.

Qui è George Hotz ad aver conquistato il premio più grande, $150.000. Google dal canto suo dice di aver erogato in totale 3 milioni ai bug hunter, dicendo: “più soldi riusciamo a dare alla comunità White Hat, meglio staremo in futuro”.

Via | CNet

  • shares
  • Mail