I primi browser a cadere al Pwn2Own 2011, la competizione di hacking che si tiene durante la conferenza sulla sicurezza CanSecWest, sono stati Safari e Internet Explorer 8. I ricercatori registrati per attaccare Chrome non si sono presentati (probabilmente un recente aggiornamento ha invalidato il loro attacco), mentre Firefox entrerà in gara domani. In seguito il focus passerà sugli smartphone e in gara ci saranno: iPhone, Blackberry OS, Android e Windows Phone 7.
Le regole della competizione tra browser prevedevano che il software installato sui sistemi fosse aggiornato alla settimana scorsa, quindi alcuni recenti aggiornamenti - come Safari 5.0.4 - non sono stati applicati. Ci sarebbe piaciuto vedere in gara anche Internet Explorer 9, ma per ora non è ancora in versione finale (arriverà il 14 marzo).
Tra i due caduti, quello a cedere per primo è stato il browser di Apple (versione 5.0.3), su un sistema operativo aggiornato Mac OS X 10.6.6. A scardinarne le difese è stata l'azienda di sicurezza francese Vupen, la prima ad attaccare Safari.
Le procedure dettagliate dell'attacco non possono essere rese note pubblicamente, come da regolamento, ma sappiamo che gli esperti di Vupen hanno fatto visitare al browser un sito maligno confezionato per l'occasione e, dopo solo cinque secondi, sono stati in grado di avviare l'applicazione della calcolatrice e scrivere un file sull'hard disk. Così facendo i ricercatori hanno soddisfatto i due requisiti della gara: l'avvio di codice arbitrario e l'aggiramento dei sistemi di protezione sandbox.
Chaouki Bekrar, cofondatore di Vupen, ha spiegato che l'exploit è stato difficile da realizzare per l'assenza di documentazione sulle tecniche di exploit di Safari a 64 bit. Per l'occasione Vupen ha messo al lavoro tre ricercatori per due settimane, in modo da realizzare gli strumenti adeguati e trovare un attacco efficace. Il team francese si è quindi portato a casa 15 mila dollari e un nuovo MacBook Air, su cui si è svolta la prova.
Il browser è la porta d'accesso per scardinare le difese dei computer
Il secondo browser a cadere è stato Internet Explorer 8, in versione a 32 bit su un sistema Windows 7 con Service Pack 1 a 64 bit. L'autore dell'attacco è stato Stephen Fewer, ricercatore di Harmony Security. Anche in questo caso l'efficacia dell'exploit è stata dimostrata avviando l'applicazione della calcolatrice e scrivendo un file sull'hard disk.
Per portare a termine l'attacco il ricercatore si è avvalso di tre vulnerabilità distinte: due per eseguire codice all'interno del browser e la terza per oltrepassare le difese della sandbox di Internet Explorer, in modalità protetta. L'attacco è stato confezionato in circa cinque/sei settimane. Fewer si è portato a casa 15 mila dollari e un portatile Sony Vaio.
Ora la palla passa a Microsoft e Apple. Hanno sei mesi, un'eternità , per risolvere le falle sfruttate nella gara prima che le informazioni tecniche sugli attacchi siano rese pubbliche, a vantaggio di chiunque, malintenzionati compresi.