Italiano Inglese

Dieci anni di competizioni tra Hacker a caccia di bug: il "Pwn2Own" 2017

Arrivata alla sua decima edizione, e conclusa pochi giorni fa, la competizione tra hacker per eccellenza chiamata “Pwn2Own” ha decretato anche quest’anno quali sono i software più afflitti da eventuali bug di programmazione che li rendono quindi meno sicuri e più idonei ad eventuali attacchi. Il termine con cui si indica questo importante evento di hacker si riferisce ai verbi inglesi “to pwn” che significa hackerare e al termine “to own” che viene utilizzato invece nei videogiochi per umiliare l’avversario sconfitto. Scopo finale della competizione è, infatti, quello di riuscire a trovare delle falle in specifici software, in particolare modo i browser per navigare su internet, e i sistemi operativi degli smartphone di ultima generazione, in maniera tale da risolvere anche gli eventuali bug di programmazione per creare prodotti sempre migliori (anche se programmi perfetti ed inattaccabili difficilmente mai esisteranno proprio per la grande difficoltà che risiede intrinseca nella programmazione informatica con le sue tante variabili di cui un programmatore deve sempre tener conto). Ai vincitori della competizione vanno sia un premio in denaro (variabile, ma che nel 2012 ha raggiunto la ragguardevole cifra di un milione di euro offerta da Google a chi avesse “bucato” Google Chrome), sia il computer o l’apparecchio su cui sono riusciti ad eseguire l’exploit. Anno dopo anno il successo dell’evento è stato sempre maggiore e sono tanti i nomi importanti (come: Internet Explorer, Mozilla Firefox, Google Chrome, Safari, BlackBerry, iPhone, Android, Windows Phone) che sono caduti in battaglia durante questa decade.

Grattacapi sono stati registrati praticamente per quasi qualsiasi altro software famoso in circolazione: Microsoft Edge, il browser moderno preinstallato su Windows 10 e fermo ancora al 5% di quota di mercato, è risultato il browser meno sicuro poiché vittima del numero maggiore di exploit, hackerato almeno cinque volte in tre giorni specialmente a causa dell’engine JavaScript Chakra. A onor del vero bisogna anche dire che sì, effettivamente Microsoft Windows e Microsoft Edge sono stati i software maggiormente attaccati nei tre giorni della manifestazione, ma la maggior parte degli attacchi sono comunque riusciti. Inoltre la scelta potrebbe essere stata dettata proprio dalla consapevolezza da parte dei team di una debolezza strutturale che avrebbe favorito il successo. Nel campo dei browser a seguire abbiamo trovato Safari, il browser dei Mac, violato tre volte, e poi Mozilla Firefox che ha subito due attacchi tentati di cui solo uno è andato a buon fine. Solo Chrome di Google è riuscito indenne dalla competizione: su un solo tentativo di aggressione il team di hacker non è riuscito a completare l’exploit nei tempi indicati per la competizione.

Questa decima edizione ha fatto segnare, però, un record rispetto alle edizioni precedenti, per la prima volta, infatti, in un solo attacco hacker sono stati violati browser, sistema operativo e virtual machine. Le virtual machine (macchine virtuali) vengono solitamente utilizzate per isolare sistema operativo e dati dei singoli clienti in un servizio di hosting. VMWare Workstation è, invece, molto popolare tra gli utenti desktop che vogliono mantenere separato il sistema operativo host (quello in cui viene eseguita la virtual machine) dal sistema operativo guest (quello eseguito nella virtual machine). Ciò dovrebbe impedire ai contenuti infetti di passare dal secondo al primo, superando le difese della macchina virtuale. L’hack in questione ha comunque messo in chiaro che la massima sicurezza non è garantita nemmeno da una virtual machine. La tripletta è stata ottenuta da ben due team differenti presenti all’evento che così hanno potuto portarsi a casa un assegno sostanzioso e la vetta della classifica generale. Per ottenere questo straordinario risultato il team di hacker cinese “360 Security” ha prima trovato il bug all’interno di Microsoft “Edge”, per poi passare subito dopo all’immagine di Windows su cui girava ed, infine , alla virtual machine che gestiva il sistema operativo in esecuzione, e tutto nel tempo record di 90 secondi sfruttando sia un bug heap overflow sul browser, sia un buffer non inizializzato su VMWare Workstation, ed infine un bug nel kernel di Windows.. Vulnerabilità diverse per risultati simili che hanno portato un altro team, il Tencent Security Team Sniper ad ottenere lo stesso risultato pur non avendo utilizzato a bordo della virtual machine strumenti software di alcun genere in grado di mettere in comunicazione il sistema operativo ospite con l’hardware della macchina.

Altri exploit, meno eclatanti, ma comunque importanti, hanno portato a dimostrare la profonda preparazione e bravura degli hacker che hanno saputo per esempio piazzare una scritta arbitraria sulla Touchbar interattiva dell’ultima versione dei MacBook grazie ad una falla di Safari per accedere alla struttura di Mac Os, un chiaro esempio di come anche il sistema operativo di Cupertino non sia così sicuro come si è pubblicizzato invece per anni. Sorti simili per Adobe con i buchi verso sia Flash sia Reader, e per la prima volta in questa edizione verso Ubuntu Linux 16.10. Fortunatamente, dopotutto è proprio questo lo scopo della competizione, tutte le vulnerabilità sfruttate durante la competizione di hacking vengono segnalate ai rispettivi sviluppatori, in questo modo le società hanno modo e tempo di risolverle e di rilasciare aggiornamenti di sicurezza: solo dopo questo passaggio vengono rese di pubblico dominio.

Molte cose sono cambiate in dieci anni di evoluzione tecnologica: quando è nato questo particolare evento ancora non si parlava della crescita dei “ransomware”, di attacchi hacker tra blocchi continentali contrapposti, dell’evoluzione del “cloud”, dell’esplosione dei “bitcoin”, né nessuno aveva mai sentito parlare dell’ “Internet of Things”; semplicemente perché molte di queste creazioni tecnologiche esistevano solo in chiave teorica prima di crescere ed affermarsi nel mondo reale come possiamo vederlo con i nostri occhi in questo momento. E più cresce l’importanza della tecnologia nella nostra vita, più ovviamente crescono proporzionalmente i rischi legati a tale tecnologia che permea la nostra vita e che lo farà sempre di più negli anni a venire.

Gianluca Cimini

Gianluca Cimini - Il Pwn2Own 2017