Ai partecipanti alla manifestazione “Pwn2Own” sono bastati pochi minuti per “forzare” browser come Apple Safari, Microsoft Internet Explorer 8 e Mozilla Firefox. I primi a portare a termine con successo il loro “attacco”, sono stati il 22enne italiano Vincenzo Iozzo e Ralf-Philipp Weinmann. Lo annuncia un portavoce di 3Com-TippingPoint, l’azienda attiva nel campo della sicurezza informatica che ha organizzato l’evento. Al duo è stato assegnato un premio in denaro pari a 15.000 dollari.
Weinmann è balzato agli onori delle cronache nel 2007 per aver dimostrato, insieme con altri due ricercatori, un approccio molto più rapido ed efficiente per violare reti Wi-Fi protette con l’algoritmo WEP, oggi considerato assolutamente insicuro (suggeriamo di consultare, a tal proposito, questi nostri articoli).
La coppia Iozzo-Weinmann ha preso di mira un iPhone riuscendo, con un attacco mirato, a sottrarre il contenuto dell’archivio dei messaggi SMS. Per far leva sulla vulnerabilità, già studiata nel corso delle ultime due settimane dai ricercatori, è stato sufficiente visitare, servendosi dell’iPhone, un sito web opportunamente congeniato.
E’ stato invece Charlie Miller a “far cadere” Safari su un sistema MacBook Pro con il sistema operativo “Snow Leopard” aggiundicandosi un premio per la terza volta consecutiva (era già accaduto nelle edizioni 2008 e 2009 di “Pwn2Own“).
TippingPoint ha definito “tecnicamente impressionante” la vulnerabilità individuata da Peter Vreugdenhil in Internet Explorer 8, su piattaforma Windows 7. Il ricercatore è infatti riuscito a sfruttare una lacuna di sicurezza che gli ha permesso di “dribblare” la funzionalità di protezione “Data Execution Prevention” (DEP) e di eseguire codice nocivo.
Ha tirato le fila un giovane hacker tedesco, conosciuto solo con il nome di battesimo – Nils -, che ha forzato il browser Mozilla Firefox, sempre su piattaforma Windows 7.
Durante il primo giorno di “Pwn2Own” l’unico browser ad “aver retto” agli urti dei partecipanti sembra essere stato Google Chrome.
Com’è ovvio, TippingPoint non ha fornito o non offrirà i dettagli tecnici circa le vulnerabilità individuate nei vari software. Ha invece acquisito i diritti su tali vulnerabilità e sui codici exploit, messi a punto dai partecipanti al concorso “Pwn2Own“, che consentono di sfruttarle. TippingPoint girerà tutte le informazioni circa le falle di sicurezza individuate ai rispettivi produttori affinché le vulnerabilità possano essere prontamente sanate nelle prossime versioni dei vari browser.