Roberto Pulito

Pwn2own 2011, fine della sfida

I vincitori (e i vinti) della celebre competizione di hacking. In arrivo anche i primi cerotti per curare le ferite post-partita

Roma - Cala il sipario sull'edizione 2011 del Pwn2Own, la nota sfida di hacking ospitata dalla convention sulla sicurezza CanSecWest che chiede di eseguire codice su laptop o smartphone, utilizzando un exploit personale che buchi la sicurezza del browser installato nel dispositivo. L'organizzatore dell'evento non ha ancora pubblicato la lista di vincitori e vinti sul blog ufficiale ma i risultati hanno già fatto il giro del mondo.

In questi tre giorni di braccio di ferro, gli hacker hanno dimostrato che è possibile superare le difese di Safari, Internet Explorer 8, iPhone 4 e BlackBerry Torch 9800. Firefox, Chrome, Android e Windows Mobile 7 sono invece rimasti inviolati. Il browser Mozilla è riuscito a resistere ai colpi di un exploit alquanto instabile ed è uscito indenne dal Pwn2Own per la prima volta.

I risultati non si discutono ma, tecnicamente parlando, Chrome e gli altri "sopravvissuti" non hanno dovuto resistere ad alcun attacco in diretta perché non si sono fatti avanti gli sfidanti. In alcuni casi sembra che siano stati proprio gli ultimi aggiornamenti pre-Pwn2Own a mettere i bastoni tra le ruote dei concorrenti.
Lo sfidante di Android, ad esempio, non ha più potuto dimostrare il passato problema del marketplace sul quale aveva scommesso, mentre l'avversario di Chrome ha paradossalmente contribuito alla patch su cui stava incentrando la sfida e si è ritrovato senza exploit funzionanti.

Come noto, il colosso di Mountain View aveva preteso di essere incluso tra le "cavie" e aveva anche alzato la posta in palio scommettendo sull'inviolabilità di Chrome, ma lo show pubblico non c'è stato. Tuttavia, dato che la vulnerabilità di WebKit utilizzata per mettere K.O. Safari e BlackBerry era presente anche nel codice di Chrome, Google ha già rilasciato una patch che allontana l'ansia.

Anche Microsoft, che non aveva pensato ad alcun cerotto preventivo, sta preparando un fix mirato, per tappare le falle evidenziate in Internet Explorer 8. L'azienda fa sapere che questo tipo di problema non riguarda IE9. Ci si aspetta ora un nuovo cerotto Apple, visto che anche la più recente versione di Safari (5.0.4), uscita un giorno prima della gara, è ancora vulnerabile all'attacco evidenziato al Pwn2Own.

A conti fatti, basandosi semplicemente sulla "quantità" di browser e dispositivi in gioco, si potrebbe comunque dire che il Pwn2Own di quest'anno è finito con un pareggio. I colpi messi a segno su device "noti" e browser open source, ricchi di documentazione ufficiale, appaiono meno impressionanti rispetto ai risultati ottenuti su sistemi e software di cui ancora si conosce pochissimo.

Roberto Pulito
Notizie collegate
32 Commenti alla Notizia Pwn2own 2011, fine della sfida
Ordina
  • Non se ne può più, basta articoli di Roberto Pulito, non ho nulla contro la persona, ma basta leggere articoli dove si cerca di far passare per verità assoluto i punti di vista dell'autore dell'articolo, poi dopo il disastroso articolo che titolava falsa partenza per Linux, passando dal primo articolo sul Pwn2own, basta vi prego la qualità degli articoli cala sempre di più.on
    Spero che il mio post non venga cancellato, come lettore credo di aver diritto alla critica.
    non+autenticato
  • > Spero che il mio post non venga cancellato, come
    > lettore credo di aver diritto alla
    > critica.

    Però se tu fossi registrato avresti un pizzico di diritto, come anonimo forse no.
  • - Scritto da: Sandro kensan
    > Però se tu fossi registrato avresti un pizzico di
    > diritto, come anonimo forse
    > no.

    Da quando la libertà di espressione è un diritto della sola fetta di utenti registrati?
    Ripensa a ciò che hai detto, please.
    non+autenticato
  • - Scritto da: Marsh

    > Da quando la libertà di espressione è un diritto
    > della sola fetta di utenti
    > registrati?
    > Ripensa a ciò che hai detto, please.

    Dai, per fare una critica a una persona che ci mette la sua faccia e il suo nome e cognome e che fa la fatica di scrivere un testo occorre almeno che chi critica si assuma un *minimo* di responsabilità.

    Un anonimo non si sa nemmeno se è minorenne o maggiorenne, non si sa che discorsi faccia a parte il singolo post che fa la critica, non si sa nulla di nulla e quindi nemmeno se è all'altezza di criticare un'altra persona per quel che ha fatto.

    Di gente con grandi capacità di critica ma sterili nelle proprie capacità di fare è pieno il mondo. Come dice una canzone che mi viene in mente "danno buoni consigli perché non possono più dare cattivo esempio".

    Quindi se l'autore vuole considerare che la critica viene da un minorenne che si sta annoiando o da una persona irresponsabile ne ha tutte le ragioni.
  • - Scritto da: Sandro kensan
    > - Scritto da: Marsh
    >
    > > Da quando la libertà di espressione è un diritto
    > > della sola fetta di utenti
    > > registrati?
    > > Ripensa a ciò che hai detto, please.
    >
    > Dai, per fare una critica a una persona che ci
    > mette la sua faccia e il suo nome e cognome e che
    > fa la fatica di scrivere un testo occorre almeno
    > che chi critica si assuma un *minimo* di
    > responsabilità.
    >

    E' una tua scelta mettere la tua faccia , il tuo nome ed il tuo cognome, io ho scelto di non registrarmi.

    > Un anonimo non si sa nemmeno se è minorenne o
    > maggiorenne,

    Ah perché se si registra invece sei sicuro della sua eta' ?

    > non si sa che discorsi faccia a
    > parte il singolo post che fa la critica, non si
    > sa nulla di nulla e quindi nemmeno se è
    > all'altezza di criticare un'altra persona per
    > quel che ha
    > fatto.
    >

    Invece registrandosi diventa automaticamente credibile ?

    > Di gente con grandi capacità di critica ma
    > sterili nelle proprie capacità di fare è pieno il
    > mondo. Come dice una canzone che mi viene in
    > mente "danno buoni consigli perché non possono
    > più dare cattivo
    > esempio".
    >
    > Quindi se l'autore vuole considerare che la
    > critica viene da un minorenne che si sta
    > annoiando o da una persona irresponsabile ne ha
    > tutte le
    > ragioni.

    Sicuramente ci sono minorenni che sono due spanne sopra te e me.
    non+autenticato
  • - Scritto da: kinder
    > - Scritto da: Sandro kensan
    > > - Scritto da: Marsh
    > >
    > > > Da quando la libertà di espressione è un
    > diritto
    > > > della sola fetta di utenti
    > > > registrati?
    > > > Ripensa a ciò che hai detto, please.
    > >
    > > Dai, per fare una critica a una persona che ci
    > > mette la sua faccia e il suo nome e cognome e
    > che
    > > fa la fatica di scrivere un testo occorre almeno
    > > che chi critica si assuma un *minimo* di
    > > responsabilità.
    > >
    >
    > E' una tua scelta mettere la tua faccia , il tuo
    > nome ed il tuo cognome, io ho scelto di non
    > registrarmi.
    >
    > > Un anonimo non si sa nemmeno se è minorenne o
    > > maggiorenne,
    >
    > Ah perché se si registra invece sei sicuro della
    > sua eta'
    > ?
    >
    > > non si sa che discorsi faccia a
    > > parte il singolo post che fa la critica, non si
    > > sa nulla di nulla e quindi nemmeno se è
    > > all'altezza di criticare un'altra persona per
    > > quel che ha
    > > fatto.
    > >
    >
    > Invece registrandosi diventa automaticamente
    > credibile
    > ?
    >
    > > Di gente con grandi capacità di critica ma
    > > sterili nelle proprie capacità di fare è pieno
    > il
    > > mondo. Come dice una canzone che mi viene in
    > > mente "danno buoni consigli perché non possono
    > > più dare cattivo
    > > esempio".
    > >
    > > Quindi se l'autore vuole considerare che la
    > > critica viene da un minorenne che si sta
    > > annoiando o da una persona irresponsabile ne ha
    > > tutte le
    > > ragioni.
    >
    > Sicuramente ci sono minorenni che sono due spanne
    > sopra te e
    > me.

    sei minnorenne vero?
    non+autenticato
  • > Un anonimo non si sa nemmeno se è minorenne o
    > maggiorenne, non si sa che discorsi faccia a
    > parte il singolo post che fa la critica, non si
    > sa nulla di nulla e quindi nemmeno se è
    > all'altezza di criticare un'altra persona per
    > quel che ha
    > fatto.

    Pensa un po', e io che pensavo che, in una discussione, l'importante è quello che si dice e non quello che si è o che si è detto in passato.

    Se un'argomentazione è valida, è una buona argomentazione. Se chi lo dice in passato ha detto cavolate, non invalida questo fatto. Se chi lo dice pratica sesso con animali, non invalida questo fatto. Se è maggiorenne, minorenne, ricco o povero, non invalida il fatto che, se un'argomentazione è valida, è una buona argomentazione.

    Tutto il resto, sono fallacie ad hominem. Ad esempio come "Tu non puoi parlare che non sei registrato".
    non+autenticato
  • - Scritto da: Talking Head

    > Pensa un po', e io che pensavo che, in una
    > discussione, l'importante è quello che si dice e
    > non quello che si è o che si è detto in
    > passato.
    >
    > Se un'argomentazione è valida, è una buona
    > argomentazione. Se chi lo dice in passato ha
    > detto cavolate, non invalida questo fatto. Se chi
    > lo dice pratica sesso con animali, non invalida
    > questo fatto. Se è maggiorenne, minorenne, ricco
    > o povero, non invalida il fatto che, se
    > un'argomentazione è valida, è una buona
    > argomentazione.

    Se io non mi fido di te perché non ti conosco o perché so che sei un irresponsabile hai voglia di dire cose esatte.

    Se io incontro un tipo per la strada lo guardo per benino, gli chiedo se sa indicarmi la tale via e ascolto attentamente il suo tono di voce, la sua gestualità e il suo modo di fare, non ascolto solo che la tale via è a due chilometri da qui.

    Se il tipo non mi persuade chiedo anche ad altri dove si trova la tale via. Figurati per cose più importanti se un insieme di lettere scritte su un monitor da uno che non si è mai visto ne si è mai parlato insieme e di cui non si sa nulla di nulla, che affidamento posso farci.
    >
    > Tutto il resto, sono fallacie ad hominem. Ad
    > esempio come "Tu non puoi parlare che non sei
    > registrato".

    vabbè.
  • Chi avrebbe stabilito questa insulsa regola? Tu?
    non+autenticato
  • Sono totalmente d'accordo, articolo scarso, pochi commenti.
    non+autenticato
  • Sono anni che ci provano a violarli, ma non ci riescono mai.
    Ovviamente è solo un caso che riescano a superare senza problemi le difese di Windows, IE, Safari e iOS: quelli sì che sono sistemi sicuri.
    non+autenticato
  • http://punto-informatico.it/3106995/PI/News/pingui...


    Avranno provato a sfruttarla ? E se no, perché no ?
    non+autenticato
  • Perchè è stata patchata esattamente un mese faOcchiolino
    non+autenticato
  • Ah gia' vero, hanno patchato solo Linux ed Android in vista dell'evento Pwn2own.
    non+autenticato
  • Hai fatto una pessima figura, non puoi rimediare con il sarcasmo.
    non+autenticato
  • Sarà sarcasmo ma io gli do ragione (sul sarcasmo).

    Del resto si è letto che per "confezionare" un attacco ci vuole tempo (1 mese circa?).
    Secondo me il Pwn2own dovrebbe prendere i sistemi non patchati di uno/due mesi prima. Anche perchè così puoi dire che chrome è sicuro come le centrali nucleari giapponesi un mese prima dello tsunami (=all'avanguardia, se non ce la fanno i giapponesi dovremmo farcela noi ecc ecc [sorry for OT]).
    non+autenticato
  • Hai letto su cosa si stava discutendo??

    Su Ubuntu una falla appena pubblica viene patchata in 24-48 ore, stesso cosa per Firefox, quindi un hacker non è mica scemo a prendere tempo su falle patchate in tempi brevi soprattuto in una manifestazione come il Pwn2own dove si vincono soldi.

    L'amico ha sbagliato di brutto, infatti è scomparso.
    non+autenticato
  • Eccomi !

    Ma fammi capire, la patch viene applicata in automatico o la devi accettare tu prima ?

    Perché se avviene in automatico , diventano vane tante belle parole dette dai vari fan-linux tipo "noi abbiamo il controllo su tutto", "io so esattamente cosa succede al mio terminale".

    Se , invece, la devi accettare .... bhé , i miei dubbi sulla bonta' dell'evento si rafforzano.
    non+autenticato
  • - Scritto da: kinder
    > Eccomi !

    > Ma fammi capire, la patch viene applicata in
    > automatico o la devi accettare tu prima ?

    I settaggi di default dipendono dalla distribuzione; ovviamente puoi settare le tue preferenze; puoi sia fargli fare tutto automaticamente, che solo sistemare automaticamente gli aggiornamentidi sicurezza ma non gli altri, sia chiedere per tutti.

    > Perché se avviene in automatico , diventano vane
    > tante belle parole dette dai vari fan-linux tipo
    > "noi abbiamo il controllo su tutto", "io so
    > esattamente cosa succede al mio terminale".

    > Se , invece, la devi accettare .... bhé , i miei
    > dubbi sulla bonta' dell'evento si rafforzano.
    krane
    22544
  • - Scritto da: kinder

    > Avranno provato a sfruttarla ? E se no, perché no
    > ?

    ╚ il problema della chiavetta USB? ma per quella non è sufficiente digitare un indirizzo web apposito come www.ticracckoliphone.it come prescritto dalla competizione, mica puoi usare il teletrasporto per inserire una chiavetta usb.

    La competizione prevede in seconda battuta che l'utente compia determinate azioni di fronte alla pagina web www.ticracckoliphone.it ma non prevede che ordini via web una chiavetta USB con virus e poi la inserisca nel proprio pc.
  • > Avranno provato a sfruttarla ?
    No

    > E se no, perché no ?
    Perché è una vulnerabilità risolta: pensavi che Linux fosse immune dalle vulnerabilità?
    non+autenticato