Durante il contest di hacking Mobile Pwn2Own tenutosi questa settimana a Tokyo, sono emersi problemi sia per Internet Explorer che per Chrome.
Il browser di Microsoft è stato “bucato” da alcuni ricercatori di HP che – fuori concorso – hanno dimostrato gli effetti di un exploit su Internet Explorer 11 per Windows 8.1. Sfruttando la falla, il team è riuscito ad eseguire del codice da remoto e a prendere il controllo completo della macchina, un Surface Pro nel caso specifico.
Dopo Internet Explorer, Google Chrome e Mozilla Firefox anche Adobe Reader e Adobe Flash sono stati bucati al Pwn2Own, l’hack-contest che si tiene ogni anno in Canada presso la conferenza CanSecWest.
Il giorno successivo a quello durante il quale i tre browser web sono “caduti sotto i colpi” degli hacker partecipanti al contest la società di sicurezza VUPEN è riuscita a superare anche la sandbox di Adobe Flash aggiudicandosi, in tal modo, un ricco bottino pari a 70 mila dollari.
Chaouki Bekrar, il CEO di VUPEN, ha dichiarato che Adobe sta facendo un ottimo lavoro nello sviluppo del suo plugin.
Oracle, invece, non presta la dovuta attenzione allo sviluppo del suo plugin e, diversamente da Adobe, Java può essere bucato senza problemi poiché non ha una sandobox.
Il Pwn2Own, l’hack-contest che si tiene ogni anno in Canada presso la conferenza CanSecWest, ha mietuto altre vittime illustri. Questa volta a cadere sotto le righe di codice degli hacker sono stati tutti i principali browser: Internet Explorer, Chrome e Firefox Safari, ma anche Windows 8 e – sorpresa delle sorprese – Java. Si tratta di tutte vulnerabilità zero-day sfruttate tramite computer equipaggiati con Windows 7, Windows 8 ed OS X Mountain Lion aggiornati fino all’ultima patch.
In quel di Google ne sono più che certi: Chrome OS, il sistema operativo basato sul browser web di big G, è inviolabile e per dimostrarlo Mountain View ha deciso di mettere ben oltre 3 milioni di dollari (per essere precisi 3,14159) a disposizione degli hacker che durante il Pwnium 3 riusciranno nell’ardua, se non addirittura impossibile, impresa di “bucare” l’OS.
Il Pwnium si svolgerà il prossimo 7 marzo in Canda presso la città di Vancuver e nel corso dell’evento la cifra messa in palio da big G sarà suddivisa in base all’importanza delle vulnerabilità individuate.
Nel dettaglio, l’individuazione di un exploit in grado di resistere dopo un riavvio del computer verrà premiata con 150 mila dollari mentre coloro che rileveranno exploit ad azione temporanea riceveranno 100 mila dollari.
Gli exploit utilizzati non dovranno sottostare a vincoli particolari se non ad una limitazione imposta da Google stessa: tutte le operazioni dovranno essere effettuate utilizzando come computer di riferimento un Chromebook 550 della Samsung con connessione Wi-Fi.
Recentemente vi abbiamo parlato dell’ultima sfida lanciata da Kim Dotcom, il fondatore del nuovissimo Mega che ha preso il posto del defunto Megaupload. Il portale di archiviazione di file, non può essere violato, Dotcom ne è convinto. Dalla sua totale sicurezza arriva la proposta del leader: chiunque riuscirà a subentrare all’interno di Mega otterrà 10.000 euro. Una somma niente male per gli hacker che commettono tali azioni ogni giorno, ma riusciranno a scavalcare la protezione del sito?
Nell’attesa, Dotcom vuole rinforzare ancora di più la sicurezza di Mega, ma non usa solo la sua mente e lo staff che si cela dietro il portale, bensì decide di lanciare un’altra sfida. La cifra in ballo è sempre la medesima, 10.000 euro, ma questa volta non verranno consegnati per violare l’indirizzo, bensì dati a qualsiasi utente riuscirà a scoprire ogni falla.