TippingPoint una divisione di 3Com che si occupa di sicurezza, fa sapere che nell’edizione 2009 di Pwn2Own (una competizione per scoprire falle di sicurezza su varie piattaforme) si terranno in considerazione anche gli smartphone e non solo i computer, alla ricerca di vulnerabilità che permettano l’esecuzione di codice arbitrario.
Nelle edizioni degli scorsi anni della competizione, Mac OS X cadde la prima volta a causa di un bug di QuickTime, la seconda volta per via di una vulnerabilità di Flash. Nell’edizione di quest’anno che si svolgerà a Vancouver (Canada) dal 16 al 20 marzo, ai partecipanti sarà data l’opportunità di competere con i pesi-massimi del mondo dei cellulari: iPhone, BlackBerry e vari modelli con Android, Symbian e Windows Mobile.
I concorrenti potranno fare affidamento solo sull’accesso remoto e saranno di conseguenza obbligati ad usare tecniche di controllo che sfruttano vulnerabilità dei browser presenti di serie nei dispositivi, oppure e-mail con contenuti dannosi o, ancora, messaggi SMS con testi malformati.
Per invogliare la partecipazione quest’anno saranno offerti 10.000$ per ogni dimostrazione che permetterà l’esecuzione di codice remoto entro il primo giorno d’apertura della competizione. Sono previsti anche 5000$ per le migliori vulnerabilità individuate entro la chiusura della manifestazione.
Per quanto riguarda i sistemi operativi, i partecipanti potranno testare la sicurezza di FireFox e Safari in Mac OS X e Chrome, FireFox e Internet Explorer 8 nel nuovo Windows 7.
Nelle condizioni di gara del PWN2OWN è normalmente stabilito che le falle sfruttabili devono essere sconosciute e non documentate. Un accordo di riservatezza impone di non rivelare alcun dettaglio sul metodo usato per attaccare i sistemi, questo almeno fino a quando le parti in causa non saranno state avvisate del percorso seguito.
In passato la gara ha permesso di rendere noti bug di sicurezza di tutti i sistemi operativi successivamente corretti dai produttori.
[A cura di Mauro Notarianni]
