Pwn2Own: competion di web security. Storia, Aggiornamenti

Storia dell’evento, le edizioni che si sono susseguite e i premi assegnati agli hacker partecipanti, curiosità e novità sulla prossima edizione.


Se vi dicessi che in Occidente da anni vi è una accesa competizione fra hacker per cercare di trovare le falle nei browser di navigazione e negli smartphone di ultima generazione, scommetto che  non vi sorprendereste più di tanto.

Si sa: gli hacker sono dei gran cattivoni.

Provano a “bucare” tutto ciò che nel mondo informatico è considerato sicuro per cercare di rubare i nostri preziosi dati.

Quello che sorprende, invece, è che una gara ‘ufficiale’ fra hacker esiste veramente e si chiama “Pwn2Own”. E’ organizzata da una delle più famose imprese di sicurezza informatica, la TippingPoint.

Si svolge annualmente in Canada nell’ambito di una conferenza sulla sicurezza informatica globale.

La storia della sfida “Pwn2Own”.

Il nome della manifestazione è dato dalla combinazione del verbo “to pwn”, che nell’informatica  anglosassone significa “hackerare un software”, e del verbo “to own”, che nel mondo dei videogiochi vuol dire “umiliare l’avversario”.

Risale addirittura al 2007, quando si svolse la prima edizione.

In quell’anno dall’altra parte dell’oceano le grandi aziende che ora costituiscono la struttura della rete (Google, Microsoft, Apple) già sottoponevano volontariamente a questa sfida i loro prodotti di punta, per testarli e per contribuire al loro miglioramento dopo aver scoperto, grazie ai vincitori della gara, quali erano i problemi di sicurezza a cui rimediare.

Del pwn2own 2015 e 2014 vi avevamo già parlato,  ed era stata l’occasione per una competition volta alla violazione dei browser per accedere al web.  Quell’anno non risparmiò nessuno, nemmeno Firefox.

12 anni di competizioni.

I premi messi in palio per gli hacker vincitori in tutto questo tempo sono cresciuti in modo esponenziale.

Basti pensare che i 10 mila dollari attribuiti al vincitore nella prima edizione del 2007 erano già 20 mila. Nell’edizione del 2010 sono diventati ben 100 mila.

Questa crescita esponenziale ha portato, nell’edizione di marzo 2019, il montepremi globale a superare i 2 milioni di dollari.

Montepremi diviso in categorie : dalla ricerca di falle nei browser, alla messaggistica, fino ai problemi informatici inerenti gli apparecchi televisivi.

Nell’edizione 2019 si testa la Tesla.

E scusate il gioco di parole… La grande novità sarà quella del premio per chi riuscirà a riscontrare falle di sicurezza nei più famosi veicoli a trazione elettrica.

In tal caso oltre al premio in danaro il bravo hacker vince anche l’automobile.

Quindi non sarà la stessa cosa come quando siete riusciti a mettere in moto un’automobile facendo ponte con i fili che spuntano da sotto il volante. Al Pwn2Own 2020  il rischio di riuscire a portarsi a casa una Tesla nuova di zecca è appannaggio del genietto di turno.

Insomma… Pwn2Own 2019 ha introdotto la “categoria automobilistica”, e i partecipanti si sono sfidati nell’hackerare un modello Tesla 3. Due partecipanti hanno hackerato il browser web dell’auto, ottenendo un premio di 35 mila dollari e un’automobile Tesla.

I partecipanti a Pwn2Own 2020, invece, dovranno hackerare una Tesla Model 3.

ZDI ha sottolineato che guadagnare un’auto sarà più difficile rispetto allo scorso anno.

Una gara su 3 livelli per la categoria automobilistica.

Livello 1: gli hacker possono guadagnare 500.000 dollari, se dimostrano l’attaccabilità e compromissione dei componenti gateway, sicurezza (VCSEC) o pilota automatico.

Livello 2 : medesimi obiettivi, ma ottenendo l’esecuzione di codice arbitrario su due sottosistemi. I premi in questo livello sono andati da 250.000 a 400.000 dollari

 

.

Il livello 3: in cui l’importo del premio oscilla tra i 35.000 ed i 200.000 dollari, richiede un exploit che comprometta un solo sottosistema dell’auto e che esiste una gamma più ampia di obiettivi.
La categoria browser di Pwn2Own 2020 comprende Chrome, Edge (sia basato su Chromium e EdgeHTML), Safari e Firefox, con premi che oscillano da 40.000 a 100.000 dollari.

Nella categoria di virtualizzazione, gli hacker possono scegliere come target Oracle VirtualBox, VMware Workstation ed ESXi e Microsoft Hyper-V. Gli exploit più preziosi sono per ESXi, 150.000 e Hyper-V, 250.000.

ZDI afferma che i premi quest’anno ammontano a 1 milione di dollari. Mentre l’anno scorso, gli organizzatori hanno pagato un totale di 545.000 dollari per 19 vulnerabilità.