[English readers: English links in the reference list at the end of this post]

L’evento che catalizzerà le news di sicurezza di questa settimana sarà sicuramente la nota gara di hacking PWN2OWN 2010 ospitata nell’ambito della conferenza di sicurezza CanSecWest 2010.

Da giorni si rincorrono i commenti su quale sarà il primo sistema a cadere nei due ambiti tecnologici di gara, l’accoppiata di sistema operativo e browser, e i dispositivi mobile. Al riguardo ho trovato davvero interessante l’intervista a Charlie Miller (il vincitore della scorsa edizione del PWN2OWN) fatta da Matteo Campofiorito di OneItSecurity:

Pwn2Own 2010: intervista a Charlie Miller

Le sue parole rivelano utili considerazioni di chi si pone nell’atteggiamento dell’hacker/cracker, anche se qui il contesto è per così dire “sportivo”: l’uso di vulnerabilità non ancora note ai rispettivi vendor, la selezione di quelle che permettono l’hacking più veloce (e di come alcune funzionalità di protezione tipo DEP e ASLR siano un deterrente in tal senso), la non scelta di Linux (non perché sia più sicuro, anzi…).

Sul primo punto, ossia sull’uso di vulnerabilità non ancora note ai rispettivi vendor, ho fatto una particolare riflessione stamattina, dopo la lettura delle security news degli ultimi giorni. Per una strana coincidenza, ben 3 dei vendor che saranno sottoposti al tentativo di hacking, si sono dati ben da fare per correggere di corsa alcune importanti vulnerabilità prima della gara (che inizierà mercoledì 24 marzo):

Apple-Safari:

Mozilla-Firefox:

Google-Chrome:

La considerazione che mi viene da fare è: ben vengano quindi i security contest come questo, se hanno modo di stimolare l’attenzione dei vendor sugli aspetti di sicurezza, ma da aziende di questo calibro mi aspetterei di vedere un approccio più maturo e più strutturato…

Feliciano

Other related posts/resources: