A Vancouver, nei giorni scorsi, si è tenuta una “singolar tenzone” tra hacker (“PWN TO OWN”) che aveva come obiettivo quello di mettere a nudo nuove vulnerabilità di sicurezza nei vari sistemi operativi, con lo scopo di renderli più sicuri, spronando i produttori a sanare le problematiche scoperte.
Tra le macchine messe a disposizione vi erano tre portatili: il primo basato su Mac OS X “Leopard”, il secondo su Windows Vista, il terzo su Ubuntu 7.10.
I tre sistemi sono rimasti inviolati nel corso del primo giorno di attività, quando erano ammesse forme di hacking pre-autenticazione che sfruttassero vulnerabilità in modalità remota.
Il secondo giorno, quando la superficie d’attacco è stata ampliata a tutte le applicazioni installate in modo predefinito sul sistema operativo, il primo sistema a cadere, per la cronaca, è stato Mac OS X 10.5.2. Charlie Miller è riuscito nell’intento di violare la macchina sfruttando una vulnerabilità “zero-day” di Safari e vincendo così i 10.000 dollari messi in palio più il portatile, un MacBook Air.
Windows Vista è invece “caduto” il terzo giorno quando la superficie di attacco è stata estesa a popolari applicazioni sviluppate da terze parti. In questo caso, Shane Macaulay ha fatto leva su una falla di Adobe Flash.
Terri Forslof, uno dei responsabili di TippingPoint, società controllata da 3Com, ha confermato che delle tre macchine messe a disposizione per la gara, l’unica a restare inviolata è stata quella basata su Ubuntu. “Semplicemente non c’è stato interesse nei confronti di Ubuntu. Una competizione come quella da noi sponsorizzata non può considerarsi come metro di giudizio per stilare conclusioni sul livello di sicurezza offerto da ciascun sistema operativo”.
Forslof puntualizza come i contendenti abbiano preferito concentrarsi su Mac e Windows sebbene almeno un attacco potesse rivelarsi efficace anche sulla piattaforma Linux.