Anche quest’anno, a Vancouver, gli hacker più capaci si sono riuniti per dare l’assalto al codice dei prodotti software più popolari nel tentativo di bypassarne le difese e compromettere il sistema di test. Durante il Pwn2Own le vittime sono sempre “eccellenti”, i premi sono in denaro e ai produttori viene concesso un “periodo di grazia” per sistemare le falle prima di rendere pubblica la loro esistenza.
Nella due-giorni di “scontro” tra hacker tenutasi nell’ambio del CanSecWest , a uscire particolarmente martoriati dall’assalto al codice sono stati i prodotti di Apple (5 vulnerabilità), Microsoft (4), Oracle (2) e infine Mozilla (1). A ogni tentativo di exploit più o meno riuscito corrispondeva l’assegnazione di un certo numero di punti, e alla fine la classifica ha incoronato Richard Zhu come il “campione” del contest di sicurezza.
L’hacker è riuscito infatti ad attaccare Edge , il browser che Microsoft incensa come il più sicuro mai sviluppato a Redmond , sfruttando due vulnerabilità del software più una nel kernel di Windows 10 per far girare codice – potenzialmente malevolo – con privilegi di accesso elevati. In seguito Zhu ha attaccato con successo Mozilla Firefox, “penetrando” ancora una volta il kernel dell’OS per l’esecuzione di codice con privilegi elevati.
Alla fine del contest l’hacker è risultato essere il vincitore con 12 punti – 6 punti di distacco rispetto al secondo classificato – vincendo $120.000 della cifra totale ($267.000) vinta quest’anno da tutti i partecipanti. A organizzare la contesa – e prevedibilmente a metterci i soldi – è stata la giapponese Trend Micro.
A margine della contesa tra hacker, l’edizione 2018 del Pwn2Own si è fatta notare anche per le polemiche alimentate dall’intervento diretto del governo cinese: le autorità di Pechino hanno proibito agli hacker cinesi di partecipare, con la scusa ufficiale di non voler condividere le falle scoperte con le aziende di terze parti. Un’imposizione che ha pesato non poco, visto che in passato i ricercatori cinesi erano usciti vincitori dal confronto con i colleghi del resto del mondo.
Alfonso Maruccia