x
TITOLO


      whatsapp

Free space for free expression in english & italian

Established
1999
Managed by
F.Brunelli

X
La tua privacy è importante
Utilizziamo, senza il tuo consenso, SOLO cookies necessari alla elaborazione di analisi statistiche e tecnici per l'utilizzo del sito. Chiudendo il Cookie Banner, mediante il simbolo "X" o negando il consenso, continuerai a navigare in assenza di cookie di profilazione. More info

Tutti
Cookie tecnici
I cookie tecnici sono necessari al fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio" (art. 122, comma 1 del Codice privacy).
Cookie analitici di terze parti
I cookie analytics sono utilizzati al fine di valutare l'efficacia di un servizio della società dell'informazione fornito da un titolare di un sito, per progettare un sito web o contribuire a misurare il "traffico" di un sito web, ovvero il numero di visitatori ripartiti per area geografica, fascia oraria della connessione o altre caratteristiche.
Cookie di profilazione
Sono cookie che creano profili personalizzati relativi all'utente per finalità di marketing, ad esempio il retargeting o advertising sui social network.

Accetto Chudi
8/8/2022

Pwn2Own: cosa emerge e cosa non emerge

by Filippo Brunelli

Pwn2Own è una delle competizioni di hakeraggio più famose al mondo che quest’anno ha visto assegnare premi per 1.155.000 dollari su 25 vulnerabilità zero-day1 che sono state trovate


Cos’è Pwn2Own
Pwn2Own è un concorso di pirateria informatica che si tiene ogni anno alla conferenza sulla sicurezza di CanSecWest. La prima edizione è avvenuta nel 2007 a Vancuver e da allora, con l’eccezione del periodo della pandemia di Covid-19, ha aiutato le aziende del settore IT che vi partecipano a scoprire e correggere gravi falle nei loro software.
La competizione nasce su iniziativa di Dragos Ruiu frustrato dalla mancanza di disposte da parte di Apple alle sue domande sulla sicurezza nel mese dei bug di Apple e dei bug del kernel, nonché sulla banalizzazione che quest’ultima faceva della sicurezza integrata sui sistemi Windows in alcuni spot pubblicitari televisivi (andati in onda negli Stati Uniti e in Canada). All’epoca tra gli utenti Mac era  in diffusa (e tra molti utenti lo è ancora) che la sicurezza i prodotti Apple e OSX fossero più sicuri della controparte Microsoft.
Così circa tre settimane prima di CanSecWest ( la più importante conferenza al mondo incentrata sulla sicurezza digitale applicata) Ruiu annunciò il concorso Pwn2Own ai ricercatori sulla sicurezza della mailing list DailyDave. All’epoca non c’era un premio in denaro ma il vincitore poteva portarsi via il dispositivo che riusciva ad Hackerare (in quel caso si trattava di 2 MacBook Pro) e da qua il nome che è la combinazione delle parole "pwn", che vuol dire Hackerare, 2 che in inglese si legge Tow (due) ma si intende anche come la parola “to” nei messaggi delle chat, che davanti al verbo “Own” vuol dire possedere.
In effetti la tradizione di diventare i proprietari del dispositivo che viene hackerato è rimasta ancora adesso nella competizione affianco ai premi in denaro.
Negli anni la competizione si è ampliata sia per quanti riguarda i premi in denaro che per quanto riguarda le regole e gli obbiettivi. Già l’anno successivo si invitava gli utenti a leggere un file di testo contenuto computer con diversi sistemi operativi (Windows, Mac OSX, Lunux Ubuntu), prima cercando di hakerare solamente il computer e successivamente potendo passare anche attraverso i Browser. Anche in questo caso il primo a cadere fu il Mac attraverso un bug di Safari.


Cos’è successo quest’anno?
Quest’anno il premio per chi superava le “sfide” è arrivato a superare il 1.000.000 di dollari suddiviso in 25 differenti vulnerabilità in un periodo di 3 giorni. Il primo giorno, ha visto cadere Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari (unico prodotto della casa di Cupertino ad essere presente alla competizione), e Ubuntu Desktop.
Il secondo giorno, invece, è toccato a Tesla cadere: i ricercatori della compagnia francese Synaktiv sfruttando un bug del sistema di Tesla hanno avuto accesso ad alcuni comandi della macchina prodotta da Eolon Musk. Sempre nel secondo giorno sono invece falliti altri tentativi di avere accesso al sistema operativo Windows 11 e altri due tentativi di accedere al sistema di Tesla. Il terzo giorno, invece, i ricercatori sono riusciti a penetrare per ben tre volte nel sistema operativo Windows 11, senza fallire.
Ma superare le prove non è sufficiente: per acquisire i punti bisogna non è sufficiente l’hackerare il dispositivo o il programma interessato ma anche il modo nel quale lo si fa considerando la capacità operativa e il bug utilizzato nonché la possibilità di poter mostrare il metodo utilizzato.
Alla fine dei tre giorni l’azienda e che è stata proclamata Master of PWN dagli organizzatori del torneo, per aver totalizzato il maggior numero di punti, è la "Star Labs" di Singapore.


Cosa abbiamo imparato?
La prima cosa da notare è che quest’anno non solo erano presenti programmi di “comunication” e collaborazione online come Teams e Zoom ma attaccare questo tipo di programmi aveva un maggior peso nella competizione e portava i contendenti ad avere premi più sostanziosi.
Nulla da stupirsi visto che negli ultimi due anni queste applicazioni hanno avuto uno sviluppo ed un utilizzo sempre più rilevante nella nostra società, ma una riflessione si rende necessaria: se fino a qualche anno fa quando si pensava a vulnerabilità si pensava a debolezze del sistema operativo piuttosto che a come si utilizzava internet e veniva spesso consigliato di prestare attenzione ai siti che si visitano, ai programmi che si usano o i scaricano (che avessero delle fonti attendibili e non fossero copiati o piratatti), eccetera, quest’anno ci si accorge che queste precauzioni possono non essere più sufficienti.
Quando ci si unisce ad una conversazione in Teams piuttosto che su Zoom si pensa che a questo punto si sia al sicuro in quanto siamo collegati con persone che conosciamo. Nulla di più sbagliato. Le falle riscontrate hanno dimostrato che non è più sufficiente stare attenti ma è anche necessario disporre di protezioni quali antivirus e antimalware nonché, se si è utenti particolarmente avventurosi, dotarsi anche di una VPN2.
Sempre riguardo il fatto che bisogna sempre essere protetti è da considerare, inoltre, che i bug rilevati sui Browser a volte permettevano l’accesso a livello di Super User3 alla macchina senza necessità di nessuna conferma da parte dell’utente; questo privilege escalation4 porta alla possibilità del malintenzionato di poter eseguire codici RCE5 (Remote Code Execution) sulla macchina attaccata.
Concludendo possiamo dire che ben vengano concorsi dove si scontrano Hacker etici che permettono alle aziende di migliorare i loro prodotti e a noi di essere più sicuri. Per questo lascia sorpresi che l’unico prodotto Apple che era da “forzare” fosse stato il browser Safari la scoperta del cui bug ha portato a Paul Mandred la cifra di 50.000 dollari.
Rimane poi un ultimo punto oscuro da considerare ovvero che magari alcuni dei Bug siano già stati scoperti dai concorrenti ma che aspettino il Pwn2Own o un concorso simile per renderli pubblici e incassare così più soldi di quanti ne riceverebbero se li comunicassero direttamente alle aziende interessate.
Speriamo che così non sia!

 

1 Una vulnerabilità zero-day è una qualunque vulnerabilità di un software non nota ai suoi sviluppatori o da essi conosciuta ma non gestita.
2 VPN è l'acronimo di Virtual Private Network, ossia “rete privata virtuale”, un servizio che protegge la connessione internet e la privacy online. Crea un percorso cifrato per i dati, nasconde l’indirizzo IP e consente di utilizzare gli hotspot Wi-Fi pubblici in modo sicuro.
3 Con il termine Superuser si indica un account utente speciale utilizzato per l'amministrazione del sistema. A seconda del sistema operativo (OS), il nome effettivo di questo account potrebbe essere root, amministratore, amministratore o supervisore.
4 Privilege escalation è un tipo di attacco di rete utilizzato per ottenere l'accesso non autorizzato ai sistemi all'interno di un perimetro di sicurezza.
5 RCE è un attacco informatico in base al quale un utente malintenzionato può eseguire comandi in remoto sul dispositivo informatico di qualcun altro. Le esecuzioni di codice remoto (RCE) di solito si verificano a causa di malware dannoso scaricato dall'host e possono verificarsi indipendentemente dalla posizione geografica del dispositivo.

social social social print

Nerdering

© The Unedited
contacts: info@theunedited.com
Vat:03983070230