Torna l’annuale conferenza CanSenWest che si svolge a Vancouver il 9, il 10 e l’11 marzo e la connessa Pwn2Own, competizione nel corso della quale i partecipanti sono invitati prendere controllo di Mac e PC sfruttando falle dei browser per Internet. I computer a disposizione degli hacker saranno macchine con Mac OS X e con Windows 7. I partecipanti avranno trenta minuti di tempo per trovare falle in Explorer (ovviamente solo su Windows), Safari, Firefox e Chrome, tutti installati in sistemi operativi aggiornati e nelle ultime versioni disponibili al momento. Un concorso simile sarà organizzato anche tenendo conto degli smartphone. I telefoni interessati sono: un Dell Venue Pro con Windows Phone 7, un iPhone 4, un Blackberry Torch 9800 con Blackberry 6 OS e un Nexus con Android.
I premi in palio sono: 15.000$ e il computer utilizzato nel corso della gara (c’è anche un MacBook Air da 13”). Google ha anche fatto saper che offrirà 20.000$ per chi riuscierà a trovare due falle nel corso del primo giorno della competizione. Nelle precedenti edizioni, Safari (il browser di Apple) è stato sempre hackerato dall’esperto di sicurezza Charlie Miller il quale, però, nonostante le sue performance, ha più volte affermato che a suo modo di vedere Mac OS X è più sicuro di Windows 7.
C’è anche chi più volte ha criticato il modo di svolgersi della gara, poiché le debolezze sono generalmente falle che nulla hanno a che fare con i sistemi operativi veri e propri (si sfruttano, ad esempio, falle di Acrobat Reader o del Flash player). Jeff Jones, direttore del Security Group in Microsoft ha qualche tempo addietro affermato che la manifestazione semplifica così tanto i problemi da renderla perfettamente inutile e che, in sostanza, non gli importa dei risultati dalla gara: “Se un sistema non viene “hackerato”, non significa per forza di cose che esso è meno vulnerabile; se viene hackerato, si è solo dimostrato quello che già sappiamo: qualunque sistema, in determinate circostanze e condizioni, può essere vulnerabile”. Queste “condizioni” sono accuratamente predisposte dagli hackers che partecipano alla gara: le debolezze dei sistemi operativi sono studiate con mesi di anticipo, pianificando l’attacco con prove e controprove, evitando di divulgare anticipatamente i propri studi e presentando i risultati solo durante la manifestazione al fine di vincere i (ricchi) premi in palio.
Per quanto riguarda l’attenzione spasmodica ai Mac o agli iPhone, si deve considerare l’accurato calcolo mediatico: fa sicuramente molto più effetto annunciare di avere scoperto una vulnerabilità in Mac OS X (considerato nella coscienza comune più sicuro di Windows) o su di un iPhone (il più conosciuto degli smartphone), rispetto a vincere per avere scoperto una falla in un generico PC con Windows o in un comune smartphone. Riuscire a far parlare di sé non è certo un elemento irrilevante del gioco di competizioni come P2n2Own giacché mettersi in luce consente di essere assunti o diventare consulenti in grandi aziende che si occupano di sicurezza informatica.
[A cura di Mauro Notarianni]