Google ha annunciato il suo supporto all’annuale competizione per hacker Pwn2Own che si svolgerà a Vancouver dal 6 all’8 marzo nel corso della conferenza dedicata alla sicurezza CanSecWest. La società si è accordata con il team Zero Day Initiative (ZDI) di HP, stabilendo nuove metodologie e accollandosi una parte delle vincite previste per tutti i target. Lo scopo finale delle regole è come sempre migliorare la sicurezza dei software e dei sistemi connessi a internet e dare modo ai migliori esperti del settore di mostrare le loro abilità portando a casa ricchi premi.
Il browser Chrome è già uno degli obiettivi della competizione di quest’anno ma Google ha chiesto anche l’aggiunta del sistema operativo Chrome OS. I premi in totale previsti arrivano a più di 3 milioni di dollari. Tra questi:
- 100.000$ saranno dati a chi individua nel browser o sistema una falla in grado di far compromettere a utenti guest il sistema via web.
- 150.000$ di premio sono previsti per chi sarà in grado via web di compromettere definitivamente il dispositivo usato (controllandolo anche dopo il riavvio della macchina).
I partecipanti avranno a loro disposizione un Chromebook Samsung Series 5 550 con connessione WiFi sul quale è installata l’ultima versione di Chrome OS. Qualunque software installato nel sistema potrà essere utilizzato per portare a termine l’attacco (compresi kernel e driver). Le regole prevedono che l’exploit dovrà essere accompagnato da una dimostrazione dei bug sfruttati; gli exploit inoltre dovranno essere inviati sfruttando password autenticate tecnologie e infrastrutture di proprietà Google come ad esempio Google App Engine. I bug sfruttati infine non devono essere già noti. Ricordiamo che nel corso della gara è previsto anche un premio di 65.000$ per chi riesce ad attaccare Safari su OS X.
[A cura di Mauro Notarianni]