Alla conferenza CanSecWest il contest Pwn2Own 2009 era sicuramente l'evento più atteso. Il contest prevede che i ricercatori di sicurezza presenti si dilettino a bucare sistemi operativi e i browser web.
Charlie Miller, vincitore della passata edizione, si è aggiudicato subito la vittoria presentandosi con un exploit già pronto per Safari su Mac OS X. In 10 secondi tutto era già risolto.
"Non posso svelare dettagli sulla vulnerabilità, che funziona su un Mac aggiornato all'ultima patch e con Safari all'ultima versione disponibile. Agli organizzatori del contest ho fornito un link, hanno verificato l'exploit e tutto si è concluso in pochi secondi".
Dalle sue parole si evince che Miller aveva studiato da tempo il browser di Apple. Per par condicio, però, Miller ha voluto subito dopo scavalcare, anche in questo caso in quattro e quattr'otto, le difese Internet Explorer 8 su Windows 7 Beta, installati su un portatile Sony Vaio. In questo caso, però, Miller è stato preceduto da un ricercatore chiamato Nils. Anche Nils, in seguito, ha trovato una falla in Safari e poco dopo, anche in Firefox.
Apple e Microsoft, presenti alla manifestazione con degli esperti, sono state messe al corrente delle vulnerabilità, che sicuramente non tarderanno a risolvere. Nei prossimi giorni gli hacker continueranno la loro opera, concentrandosi anche sui sistemi operativi mobile, da Windows Mobile, passando per Symbian, fino ad Android, Mac OS X Mobile e BlackBerry. Miller non farà parte di questa sezione della gara, in quanto ha dichiarato di non aver studiato i sistemi operativi in maniera approfondita. Il ricercatore ha però affermato che alla fine nel campo mobile potrebbero non risultare attacchi, in quanto le regole del contest in questo caso sono molto restrittive.
Per quanto concerne Linux, coloro che avevano le capacità per "bucarlo" hanno deciso di "non sfruttare il lavoro svolto per realizzare il codice exploit necessario per vincere il concorso", riporta IDG.
Vogliamo ricordare che, come messo in evidenza anche dagli attori in causa, questi concorsi non dimostrano che un sistema sia più sicuro dell'altro. Il contest Pwn2Own, per quanto interessante da seguire, dimostra però che, per quanti sforzi si facciano nell'ambito della sicurezza, ci sarà sempre una falla dietro l'angolo a ricordare alle aziende che investire nel settore non è mai un errore.
