Obiettivo sicurezza, Pwn2Own e Pwnium 3

Di - 1 February 2013 - in

Come noi tutti sappiamo, la sicurezza è uno degli aspetti principali di Chrome, una caratteristica che certamente fa la differenza quando dobbiamo scegliere quale browser utilizzare. Al tempo stesso, però, sappiamo che niente è perfetto, tanto meno i software, e c’è sempre un margine più o meno ampio di miglioramento. Ciò vuol dire che ci sono sempre bug e falle di sicurezza in agguato. Ad ogni aggiornamento del browser leggiamo molti nomi correlati alle conquiste sul fronte della sicurezza, sia di dipendenti Google, sia di esterni. Questa collaborazione tra Mountain View e la comunità che si occupa della ricerca sulla sicurezza continua a produrre generosi ed importanti frutti. Ci sono però altre occasioni in cui è possibile confrontarsi con questi aspetti avanzati del software.

Recentemente l’Iniziativa Zero Day (ZDI) di HP ha divulgato i dettagli della competizione Pwn2Own che avrà luogo in occasione della conferenza sulla sicurezza CanSecWest organizzata per il 6-8 marzo 2013 a Vancouver. Quest’anno Google ha preso parte attiva nell’organizzazione di questa competizione unendosi a ZDI per definirne le regole e contribuendo per i premi. L’obiettivo di questa famosa competizione è migliorare significativamente la sicurezza della navigazione Internet di tutti e al tempo stesso permettere ai migliori ricercatori delle industrie di misurarsi tra loro, mettere in gioco le proprie abilità e – perché no? – portare a casa un succulento premio in denaro.

C’è però in gioco anche un’altra competizione, Pwnium, che raggiunge la terza edizione. Questa competizione, che ancora una volta riguarda la sicurezza, viene organizzata da Google e nelle prime due edizioni ha avuto come oggetto Chrome. Essendo però il browser già inserito nella Pwn2Own, Mountain View ha deciso di rivolgere Pwnium a Chrome OS.

Anche in questo caso assistiamo a premi piuttosto interessanti, che possono raggiungere un totale di 3,14159 milioni di dollari:

  • $110.000 per chi compromette il browser o il sistema come guest o utente autenticato utilizzando una pagina web;
  • $150.000 per compromettere il browser o il sistema con persistenza nel dispositivo (da guest a guest, il problema deve persistere dopo il reboot), anche in questo caso utilizzando una pagina web.

Gli attacchi devono essere portati contro un modello base (WiFi) di Chromebook Samsung Series 5 500 su cui gira l’ultima versione stabile di Chrome OS e non devono essere sfruttati bug già noti. Chi non ha a disposizione il suddetto dispositivo fisico può seguire la guida degli sviluppatori di Chromium OS per preparare una macchina virtuale. Le regole di Pwnium sono sempre le stesse: saranno premiati gli exploit completi accompagnati da una spiegazione di come è stato portato l’attacco e tutti i bug sfruttati. In ogni caso Google si riserva di premiare con somme minori exploit incompleti, parziali o non replicabili.

Questa competizione, che avrà luogo il 7 marzo alla CanSecWest, vuole essere un’occasione per migliorare ulteriormente la sicurezza di Chrome OS e renderlo un sistema operativo che si distingue tra gli altri proprio per questo importante aspetto.

 

Via | Chromium Blog

Leave a Reply

Mattia Migliorini Articolo scritto da

Studente di informatica presso l’Università di Padova, web designer, amante di Linux e dell’open source in generale.
Membro di Ubuntu e di 2viLUG, da gennaio 2012 è collaboratore di Engeene.

Contatta l'autore

Previous post:

Next post: