Corsi on-line

Browser e sicurezza: non si salva nessuno

Anche quest’anno, nel corso della manifestazione CanSecWest di Vancouver dedicata alla sicurezza, i migliori White Hat del Mondo si sono sfidati in occasione del Pwn2Own, forse il più famoso tra i contest dedicati all’hacking, con lo scopo di abbattere i sistemi che dovrebbero impedire la violazione dei browser per la navigazione Web più diffusi.

pwnCome confermato anche nel corso delle sette edizioni precedenti, per quanto gli sviluppatori possano essere capaci, per quanto vengano condotti test approfonditi sul funzionamento dei software, per quanto il debug possa essere continuo e i rilasci di nuove versioni particolarmente frequenti, ancora oggi un livello di sicurezza pari o vicino al 100% sarebbe ben lontano dall’essere raggiunto, ammesso che sia possibile tagliare questo traguardo.

Per dare un’idea dello stato attuale dei programmi per la navigazione Web, basterebbe tenere presente che i partecipanti al Pwn2Own hanno avuto appena 30 minuti per ottenere la violazione desiderata e nessun browser, nessuno, si sarebbe dimostrato insuperabile. Chiaramente i concorrenti si sono preparati per mesi prima di accedere al contest, ma i sistemi bypassati vengono implementati da anni e le regole dell’appuntamento sono abbastanza restrittive riguardo alle tecnologie utilizzabili.

Il Pwn2Own prevede infatti che gli exploit adottati debbano essere basati su sorgenti Web based (quindi senza l’ausilio di applicazioni per il cracking), che i concorrenti debbano agire su sistemi operativi più diffusi e che nelle piattaforme siano stati installati gli ultimi aggiornamenti rilasciati; nonostante le limitazioni è stato comunque possibile sfruttare 4 falle di Internet Explorer su Windows 8.1, 3 bug su Firefox in Windows 8.1, 2 vulnerabilità su Safari in Yosemite e 1 su Chrome nel già citato Windows 8.1.

Tra tutti gli hacker in concorso, si segnala la prestazione superlativa di Jung Hoon Lee (nickname “lokihardt“) che avendo dimostrati la pericolosità di bug in Chrome, violando il sistema per il controllo dei privilegi di accesso in Windows e bypassando le barriere di sicurezza dell’ultima Beta di Chrome, si è portato a casa ben 110 mila dollari.

Via Pwn2Own 2015

Post correlati
I più letti del mese
Tematiche