Cala il sipario sull’edizione 2011 del Pwn2Own , la nota sfida di hacking ospitata dalla convention sulla sicurezza CanSecWest che chiede di eseguire codice su laptop o smartphone, utilizzando un exploit personale che buchi la sicurezza del browser installato nel dispositivo. L’organizzatore dell’evento non ha ancora pubblicato la lista di vincitori e vinti sul blog ufficiale ma i risultati hanno già fatto il giro del mondo.
In questi tre giorni di braccio di ferro, gli hacker hanno dimostrato che è possibile superare le difese di Safari , Internet Explorer 8, iPhone 4 e BlackBerry Torch 9800. Firefox, Chrome, Android e Windows Mobile 7 sono invece rimasti inviolati. Il browser Mozilla è riuscito a resistere ai colpi di un exploit alquanto instabile ed è uscito indenne dal Pwn2Own per la prima volta.
I risultati non si discutono ma, tecnicamente parlando, Chrome e gli altri “sopravvissuti” non hanno dovuto resistere ad alcun attacco in diretta perché non si sono fatti avanti gli sfidanti. In alcuni casi sembra che siano stati proprio gli ultimi aggiornamenti pre-Pwn2Own a mettere i bastoni tra le ruote dei concorrenti.
Lo sfidante di Android, ad esempio, non ha più potuto dimostrare il passato problema del marketplace sul quale aveva scommesso, mentre l’avversario di Chrome ha paradossalmente contribuito alla patch su cui stava incentrando la sfida e si è ritrovato senza exploit funzionanti.
Come noto, il colosso di Mountain View aveva preteso di essere incluso tra le “cavie” e aveva anche alzato la posta in palio scommettendo sull’inviolabilità di Chrome, ma lo show pubblico non c’è stato. Tuttavia, dato che la vulnerabilità di WebKit utilizzata per mettere K.O. Safari e BlackBerry era presente anche nel codice di Chrome, Google ha già rilasciato una patch che allontana l’ansia.
Anche Microsoft, che non aveva pensato ad alcun cerotto preventivo, sta preparando un fix mirato, per tappare le falle evidenziate in Internet Explorer 8. L’azienda fa sapere che questo tipo di problema non riguarda IE9. Ci si aspetta ora un nuovo cerotto Apple, visto che anche la più recente versione di Safari (5.0.4), uscita un giorno prima della gara, è ancora vulnerabile all’attacco evidenziato al Pwn2Own.
A conti fatti, basandosi semplicemente sulla “quantità” di browser e dispositivi in gioco, si potrebbe comunque dire che il Pwn2Own di quest’anno è finito con un pareggio. I colpi messi a segno su device “noti” e browser open source, ricchi di documentazione ufficiale, appaiono meno impressionanti rispetto ai risultati ottenuti su sistemi e software di cui ancora si conosce pochissimo.
Roberto Pulito