Quasi nelle stesse ore in cui Microsoft annunciava la disponibilità al pubblico di Internet Explorer 8, la nuova release del browser web più usato di sempre cadeva vittima dei tentativi di ownage di un hacker semisconosciuto. Si è presentato solo con il proprio nickname ed è riuscito, en passant, a fare fuori il succitato MS IE, Firefox e Safari nel giorno 1 del contest Pwn2Own , puntualmente ospitato alla conferenza CanSecWest e sponsorizzato dalla società di sicurezza Tipping Point .
Nils, questo il nick dell’hacker che IRL fa lo studente all’Università di Oldenburg, ha confezionato un exploit che gli ha permesso di avere ragione di Explorer 8 con attacco basato su un download forzato, attraverso cui è passato il codice con cui è stata ownata una delle macchine messe a disposizione del contest, un Sony Vaio con installata una build (certo non definitiva) di Windows Seven.
Oltre a IE, Nils ha successivamente messo a segno l’ ownaggio di Safari e Firefox, rafforzando la propria vittoria ed evidenziando l’apparente incapacità strutturale di un browser moderno di essere privo di difetti o falle. “Non è così facile come alcuni anni fa – ha dichiarato l’hacker – tuttavia, i browser continuano ad avere un mucchio di problemi. Davvero si tratta di un bel po’ di codice esposto su Internet”.
Oltre che a Nils, a ogni modo, il day-1 del Pwn2Own 2009 ha consegnato l’alloro a Charlie Miller, attualmente analista di sicurezza della società Independent Security Evaluations che è stato capace di buttare giù Safari 4 in soli 10 secondi guadagnando il pieno controllo di un MacBook. Miller, che già aveva fatto faville nella precedente edizione del contest , dice di aver scoperto il baco l’anno scorso e di essersi dunque preparato per tempo alla manifestazione. “Non è una cosa facile, ma ha funzionato con un solo click” dice Miller descrivendo l’exploit basato su una “semplice” risorsa URL malevola.
Com’è tradizione, il codice utilizzato all’interno di Pwn2Own è stato passato alle aziende interessate (quindi Microsoft, Mozilla ed Apple) perché possano porvi rimedio quanto prima. Oltre alla gloria, Nils e Miller ci hanno guadagnato le macchine che sono riusciti a conquistare e 5.000 dollari ciascuno .
Nella speranza che i due si accontentino di tale bottino senza provare a far fruttare diversamente gli exploit come successo lo scorso anno , gli esperti mettono in guardia sull’esistenza di un vero e proprio mercato nero delle vulnerabilità dei browser dove una falla sufficientemente affidabile, da sfruttare per diffondere ogni genere di nefandezza informatica, può arrivare a valere 100mila dollari.
Alfonso Maruccia