Com’è oramai tradizione annuale alla conferenza sulla sicurezza CanSecWest di Vancouver, hacker ed esperti del codice sono stati chiamati a sfidarsi nel contest Pwn2Own con l’obiettivo dichiarato di bypassare i meccanismi di sicurezza dei browser Web più popolari. L’obiettivo, tutto considerato, è stato raggiunto in pieno.
L’ottava edizione del Pwn2Own non ha lasciato nessun browser intatto, e i partecipanti sono riusciti a dimostrare, nella mezz’ora a loro disposizione – e ovviamente grazie alle ricerche estete condotte nelle settimane e nei mesi precedenti al contest – che la sicurezza assoluta è un concetto di pura fantasia.
Gli hacker hanno dimostrato il funzionamento dei loro exploit – rigorosamente basati su codice Web – sui sistemi operativi più popolari e aggiornati all’ultima patch ufficiale disponibile, facendo buon uso di 4 bug su Internet Explorer (Windows 8.1), 3 su Mozilla Firefox (Windows 8.1), 2 su Apple Safari (OS X Yosemite) e 1 su Google Chrome (Windows 8.1).
Durante il contest Pwn2Own è stata dimostrata anche l’esistenza di bug di sicurezza in software estremamente popolari come Adobe Reader, Flash Player e lo stesso Microsoft Windows, mentre per quanto riguarda le “personalità” che si sono distinte nella caccia al bug è obbligatorio citare Jung Hoon Lee.
Anche noto come lokihardt , Hoon Lee è riuscito a raccogliere una taglia di ben 110mila dollari sfruttando un bug di Chrome (75mila dollari), dimostrando un aumento di privilegi di accesso su Windows (25mila dollari) e “bucando” anche la versione beta di Chrome con lo stesso bug di quella stabile (10mila dollari). Le informazioni su tutti i bachi sono state per il momento condivise solo con le società interessate, e diverranno di pubblico dominio solo dopo la distribuzione di versioni aggiornate dei software fallati.
Alfonso Maruccia