Importanti hacker (nel senso nobile del termine) cinesi si sono incontrati nel weekend a Chengdu (città nel sud-ovest della Cina) per la Tianfu Cup, competizione di hacking nazionale.
In due giorni, il 16 e il 17 novembre, ricercatori cinesi hanno testato l’efficacia di vulnerabilità zero-day con varie note applicazioni. L’obiettivo è dimostrare la possibilità di exploit (codice che sfrutta una vulnerabilità di un sistema permettendo l’esecuzione di codice malevolo, generalmente con lo scopo di acquisire i privilegi di amministratore della macchina colpita), evidenziando vulnerabilità finora ignote. Riuscendo a portare a termine l’attacco, i ricercatori guadano punti che consentono di scalare una classifica, ottenere premi in denaro ma anche la fama che deriva da questo tipo di competizione (è un modo per farsi notare da big del settore e aziende specializzate in sicurezza).
Le regole sono simili a quelle della gara per hacker nota come Pwn2Own, competizione che ha come scopo quello di riuscire a trovare delle falle in specifici software, in particolare browser (Internet Explorer, Mozilla Firefox, Google Chrome e Safari) e smartphone di ultima generazione.
I due eventi sono legati; prima del 2018 – spiega il sito Zdnet – i ricercatori cinesi specializzati in sicurezza hanno dominato l’evento Pwn2Own con diversi team vincenti in varie categorie. Dalla primavera del 2018 il governo cinese non consente ai ricercatori di partecipare a competizioni all’infuori della Cina. Allo scopo è stato creato l’evento TianfuCup ed è un diverso modo per consentire agli esperti di sicurezza di mettere in luce le loro capacità.
La prima edizione della TianfuCup si è svolta nell’autunno del 2018, evidenziando vulnerabilità in prodotti e brand quali: Edge, Chrome, Safari, iOS, Xiaomi, Vivo, VirtualBox e altri ancora.
Nel primo giorno dell’ultima competizione sono state predisposte 32 sessioni di hacking, 13 delle quali andate a buon fine; 7 non sono andate invece a buon fine e in altre 12 sessioni i ricercatori hanno abbandonato i tentativi di exploit per vari motivi.
Dal primo giorno sono emersi: 3 fruttuosi exploit in Microsoft Edge (la vecchia versione, non quella con il “motore” di EdgeHTML), 2 possibili hack per Chrome (valore 20.000$), 1 per Safari (dal valore di 30.000$), 1 per Office 365, 2 per Adobe PDF Reader, 3 per il router D-Link DIR-87 e 2 per qemu-kvm + Ubuntu.
Il secondo giorno sono stati individuati 4 nuovi explot per il router D-Link DIR-878, altri 2 per Adobe PDF Reader e 1 per VMWare Workstation. La competizione è stata vinta dal team 360Vulcan che ha intascato un totale di 382.500$. Le vulnerabilità diffuse sono comunicate alle aziende che dovrebbero predisporre patch specifiche con gli aggiornamenti.