Anche quest'anno i migliori hacker ed esperti si sono ritrovati alla conferenza sulla sicurezza CanSecWest che di tradizione ospita la gara Pwn2Own. Risultati finali molto interessanti!
Esperti della sicurezza, hacker, curiosi e giornalisti hanno animato la settima conferenza mondiale CanSecWest. All'interno di questa manifestazione viene da sempre organizzata una gara tra i migliori hacker (con alti premi in denaro) per individuare vulnerabilità e debolezze all'interno dei software più usati dagli utenti comuni.
Quest'anno sono stati “attaccati” in particolar modo i browser, ed il risultato è sconcertante per noi comuni mortali fruitori del Web: non se n'è salvato uno! Già nei primi due giorni nessun browser è sopravvissuto agli attacchi degli specialisti delle intromissioni informatiche. Anche altri software che vengono usati per interfacciarsi con il Web come Adobe Reader e Adobe Flash sono stati “bucati” senza scampo consentendo di entrare direttamente nel Pc. Addirittura Adobe Reader (il più “corazzato” che dispone di una sandbox integrata) è stato perforato con discreta facilità.
Safari, Internet Explorer 11 su Windows 8.1, Mozilla Firefox e l'ultimo a cadere anche Chrome di Google, nonostante quest'ultimo fosse stato “irrobustito” dalla casa madre con ben 7 patches di sicurezza proprio per affrontare questa competizione.
Il comportamento peggiore dal lato sicurezza è stato Mozilla Firefox, scovate dagli hacker ben tre falle di sicurezza il primo giorno e un'altra nel secondo giorno.
Questo risultato particolarmente negativo ha subito innescato il commento pubblico di Sid Stamm, capo progetto di questo browser. La dichiarazione è una ammissione dell'esistenza di queste vulnerabilità, che comunque non sono state rese pubbliche, e che tutti i “buchi” identificati verranno chiusi i prossimi giorni con alcune patch automatiche di sicurezza.
Parlando sempre a riguardo di questo record negativo del browser Firefox, Stamm lo ha addebitato principalmente alla scarsità economiche del progetto Mozilla. Tutti gli altri browser hanno alle spalle giganti del web come Microsoft, Google, Apple, mentre Firefox è molto limitato economicamente negli investimenti. Anche se, occorre ricordarlo, non avere un produttore statunitense alle spalle può comportare altri vantaggi, come spiegato in questo articolo: Firefox browser sicuro e non intercettabile?
I premi in denaro erano decisamente appetitosi e certamente hanno invogliato i migliori hacker a partecipare alla competizione. Pensate che chi ha violato, già il primo giorno, Adobe Flash, Adobe Reader, Internet Explorer 11 e Mozilla Firefox si è portato a casa ben 300 mila dollari.
Nel secondo giorno è capitolato anche il browser Chrome e l'autore dell'exploit ha incassato gran parte di altri 400 mila dollari messi nel montepremi da HP.
Il vero motivo per cui Firefox sembra il peggior browser di tutti
Le case produttrici di software pagano chiunque riesca a trovare vulnerabilità ai propri software, ma rispetto all'evento Pwn2Own, Mozilla Firefox paga molto meno: circa 3000 dollari per ogni bug scoperto, mentre Pwn2Own inizia da un minimo di 50 mila dollari!
Ben di più elargiscono Chrome ed Internet Explorer che possono arrivare ad offrire anche 100 mila dollari per grosse falle di sicurezza.
E' anche per questo motivo che Firefox è sembrato risultare sulla carta il peggiore: i ricercatori/hacker aspettano l'evento annuale per rivelare le falle (ed incassare molto di più), mentre nei casi Google e Microsoft si passa subito all'incasso, evitando di aspettare la cadenza annuale di questa manifestazione.
I nostri sistemi informatici sono dei colabrodo?
Non li definiremmo così, ma certamente, ancora una volta, viene confermato che non esiste un software sicuro. Inerente all'argomento potreste migliorare, comunque, la vostra sicurezza leggendo questo articolo: consigli da parte di un Hacker.
Qui sotto invece il link ufficiale alla manifestazione con foto, video ed interviste ai protagonisti.
Link: Sito ufficiale Pwn2own