L’edizione 2022 della famosa (o famigerata, a seconda del punto di vista) competizione Pwn2Own prende il via oggi a Vancouver, nella Columbia Britannica.
In realtà, quest’anno si tratta di un evento cosiddetto “ibrido”, in modo che i partecipanti che non possono o non vogliono viaggiare, per motivi di coronavirus o ambientali, possano partecipare a distanza.
Numerosi fornitori hanno messo in palio premi in denaro per l’hacking di vari loro prodotti ed i potenziali obiettivi di quest’anno sono:
- Virtualizzazione: Oracle VirtualBox, VMware Workstation, VMware ESXi, Microsoft Hyper-V Client.
- Browser: Google Chrome, Microsoft Edge, Apple Safari, Mozilla Firefox.
- Applicazioni aziendali: Adobe Reader, Office 365 ProPlus.
- Server: Microsoft RDP/RDS, Exchange, SharePoint, Samba.
- Sistemi operativi endpoint: Ubuntu Desktop, Windows 11. (solo Elevation of Privilege).
- Comunicazioni aziendali: Zoom, Microsoft Teams.
- Automotive: una gamma di categorie basate sui veicoli Tesla 3.
È interessante notare che quest’anno le categorie Server e App aziendali hanno attirato esattamente zero hacker ciascuna.
I browser e la virtualizzazione sono stati considerati altrettanto poco interessanti, a quanto pare, con un solo partecipante ciascuno che si è occupato di Firefox e Safari, e un hacker solitario che si è cimentato con VirtualBox.
Windows 11 e Ubuntu Linux hanno attirato rispettivamente sette e cinque partecipanti; quattro concorrenti si cimenteranno con Teams e due con vari aspetti della Tesla 3.
Le regole del Pwn2Own sono alquanto strane, dato che alcuni partecipanti potrebbero finire per non competere affatto.
Gli hacker Tesla (due categorie diverse), i partecipanti ai browser e alla virtualizzazione avranno tutti un turno, perché sono gli unici concorrenti nelle loro categorie.
O avranno successo nella mezz’ora di tempo a loro assegnata e reclameranno i loro premi, o falliranno e torneranno a casa a mani vuote.
La partecipazione di tutti gli altri dipende da ciò che è già accaduto.
Pwn2Own non è come, ad esempio, un evento sportivo a cronometro (si pensi alla discesa libera con gli sci), dove anche se il primo partecipante batte l’attuale record mondiale e sembra aver stabilito un tempo invincibile, deve comunque aspettare che l’ultimo concorrente finisca per scoprire se il suo tempo iniziale era abbastanza buono.
In Pwn2Own, invece, il primo partecipante che completa il percorso vince il premio e chiude la categoria per tutti gli altri: se si trattasse di sci alpino, il primo sciatore non dovrebbe battere un record per vincere subito, ma solo arrivare in fondo senza cadere o superare un tempo limite prestabilito.
La velocità non è del tutto indifferente in Pwn2Own. Avete un massimo di tre tentativi per dimostrare che il vostro hack funziona davvero, ciascuno della durata massima di cinque minuti, e avete 30 minuti in totale per completare i tre tentativi. In altre parole, dovete arrivare completamente preparati, con la vostra ricerca adeguatamente scritta. Pwn2Own non è assolutamente un evento in stile film “hack-it-live-and-see-what-happens”. Non basta introdursi, bisogna conoscere i dettagli più intimi di come e perché funziona il proprio attacco, in modo da poterlo correggere in modo affidabile. Ironia della sorte, le entrate più drammatiche non sono quelle in cui il concorrente riesce finalmente e freneticamente a violare il sistema con pochi secondi di anticipo, come potrebbe accadere a Hollwood. Gli hack che suscitano il maggior clamore sono quelli in cui i concorrenti, preparati in modo spettacolare, si avvicinano al sistema, lanciano il loro attacco, scrupolosamente studiato, con un solo clic o comando, e riescono subito, senza alcun dramma apparente.
Il settimo concorrente estratto nella categoria Windows 11, ad esempio, non può vincere semplicemente per essere il migliore, il più veloce o per qualche altro risultato superlativo: può vincere solo se tutti i precedenti sei partecipanti falliscono completamente e il loro hack funziona.
