Gaia Bottà

Pwn2Own, attentato alla cybersicurezza?

HP revoca al proprio supporto all'edizione giapponese della manifestazione che premia i ricercatori più abili nello sfruttare i bug: l'accordo di Wassenaar sull'esportazione di armi e tecnologie non è abbastanza chiaro

Roma - Incoraggiare i ricercatori di sicurezza a individuare bug e vulnerabilità e premiarli per degli exploit che potrebbero, pur diffusi in buona fede, essere assimilati a soluzioni per "permettere l'esecuzione di istruzioni fornite dall'esterno" o a software per sfuggire a strumenti di intrusione risulta sconveniente, a livello internazionale: le discusse modifiche recentemente apportate all'accordo globale di Wassenaar hanno mietuto una vittima, la manifestazione Pwn2Own in programma a Tokyo per il mese di novembre.

Il trattato internazionale che da anni regola l'esportazione di armi convenzionali e di beni o tecnologie neutrali che potrebbero essere impiegati per scopi non pacifici è stato rielaborato ad includere, dal 2014, delle categorie che potrebbero abbracciare l'operato dei ricercatori di sicurezza: se gli States, complice l'allarme lanciato dall'industria IT, hanno di recente avviato un intenso dibattito per valutare l'opportunità del recepimento degli emendamenti, il Giappone ha scelto di abbracciare le modifiche. Modifiche che concretizzano i timori a cui hanno dato voce ricercatori e security company.

HP, dopo aver investito tempo e risorse nello studio delle previsioni e delle definizioni della più recente versione del trattato, ha scelto di revocare il proprio supporto all'evento Pwn2Own in programma a Tokyo per il mese di novembre, tradizionale manifestazione nel corso della quale hacker e ricercatori si sfidano nell'individuare vulnerabilità e nel dimostrare attacchi ai più noti software sulla piazza, premiati dalle aziende che grazie al loro operato possano risolvere i problemi riscontrati.


A dare notizia della defezione di HP è Dragos Ruiu, organizzatore dell'evento giapponese: ha spiegato ad Ars Technica che i legali di HP stanno da tempo studiando le implicazioni delle nuove regole implementate nel trattato sulle esportazioni e che hanno le ritenute troppo vaghe per correre il rischio di una violazione, ad esempio nell'"esportare" negli States del codice di un exploit illustrato dai ricercatori nel Sol Levante. L'evento è dunque stato cancellato per decisione di Zero Day Initiative, programma per premiare i cacciatori di bug sostenuto da Tipping Point, divisione di HP dedicata alla sicurezza.

C'è chi sospetta che la rinuncia del colosso statunitense abbia a che vedere con l'intenzione di cedere Tipping Point, ma HP ha confermato la propria revoca del supporto alla manifestazione dichiarando che "a causa della complessità per gli organizzatori di ottenere in tempo reale delle licenze di import export per i paesi che partecipano all'intesa di Wassenaar, la Zero Day Initiative ha avvertito l'organizzatore della conferenza, Dragos Ruiu, che non sosterrà il contest Pwn2Own".

Gaia Bottà
Notizie collegate
  • AttualitàGoogle è per la libera circolazione dei bugMountain View si esprime ufficialmente a sfavore delle limitazioni all'esportazione di tecnologie volute dal governo USA con l'accordo di Wassenaar: potrebbero ottenere l'effetto opposto e diventare un rischio per la sicurezza informatica globale
  • SicurezzaSicurezza IT, le contraddizioni degli USAContinua la discussione sull'esportazione di tecnologie per la sicurezza fuori dagli States, con le autorità che propongono FAQ poco risolutive e la Marina che parla di "arruolare" le vulnerabilità nei software più popolari
  • AttualitàUSA, nuove restrizioni sulle tecnologie di sicurezzaLe autorità statunitensi propongono di limitare l'esportazione delle tecnologie di "intrusione" e cyber-sicurezza, una mossa che allarma prima di tutto i ricercatori. Nel mentre, le aziende IT fanno di tutto per superare i blocchi
5 Commenti alla Notizia Pwn2Own, attentato alla cybersicurezza?
Ordina