Sommario
Pwn2Own Ireland 2024 ha visto una competizione intensa tra i migliori ricercatori di sicurezza al mondo, con più di 70 vulnerabilità zero-day individuate in dispositivi completamente aggiornati. Il concorso di hacking ha premiato i partecipanti con oltre un milione di dollari per aver compromesso una vasta gamma di prodotti, inclusi smartphone, sistemi di automazione domestica, stampanti, sistemi NAS e molto altro. L’evento ha dimostrato ancora una volta l’importanza di un’analisi della sicurezza avanzata per identificare e risolvere le vulnerabilità prima che possano essere sfruttate da attori malintenzionati.
Competizione e categoria dei dispositivi
La competizione Pwn2Own, organizzata dalla Zero Day Initiative (ZDI), si concentra su diverse categorie di dispositivi per permettere ai partecipanti di esplorare e individuare falle di sicurezza. Le categorie includono:
- Telefoni mobili e app di messaggistica
- Sistemi di automazione domestica e dispositivi smart
- Stampanti, NAS e dispositivi SOHO (Small Office/Home Office)
Questo approccio multipiattaforma permette di testare la robustezza della sicurezza su una vasta gamma di dispositivi e infrastrutture, garantendo una copertura completa del panorama di sicurezza attuale.
Successi degli Hacker: Team e Ricompense
Numerosi team di hacker etici hanno dimostrato le loro abilità sfruttando varie vulnerabilità zero-day nei dispositivi di marchi noti come Lexmark, TrueNAS e QNAP. Tra i più rilevanti:
- Team Smoking Barrels: Ha sfruttato due vulnerabilità in TrueNAS X, guadagnando $20.000.
- Team Cluck: Ha eseguito una catena di sei vulnerabilità per passare dal dispositivo QNAP QHora-322 alla stampante Lexmark CX331adwe, ottenendo $23.000.
- Viettel Cyber Security: Vincitore del titolo di “Master of Pwn” con un guadagno complessivo di $205.000, grazie alla dimostrazione di exploit su NAS QNAP, speaker Sonos e stampanti Lexmark.
- PHP Hooligans / Midnight Blue: Ha utilizzato una vulnerabilità di overflow di intero per attaccare una stampante Lexmark, assicurandosi $10.000.
Pwn2Own 2025: Tokyo e la Sicurezza Automobilistica
Dopo Pwn2Own Ireland 2024, il prossimo evento Pwn2Own è previsto per gennaio 2025 a Tokyo e sarà focalizzato sull’industria automobilistica, con quattro categorie specifiche: Tesla, Infotainment In-Vehicle (IVI), caricabatterie per veicoli elettrici e sistemi operativi per auto. Il concorso rappresenta un’opportunità per esplorare e rafforzare la sicurezza nei sistemi di guida autonoma e nelle piattaforme di infotainment, in un’industria sempre più orientata verso tecnologie connesse.
In vista dell’evento Pwn2Own Automotive 2025, la Zero Day Initiative (ZDI) annuncia una competizione unica che permetterà ai partecipanti di mostrare le proprie capacità di exploit sulle più recenti tecnologie automobilistiche. Con categorie dedicate, come veicoli Tesla, sistemi di infotainment integrati, caricabatterie per veicoli elettrici e sistemi operativi, l’evento offrirà un’importante occasione per individuare vulnerabilità critiche nel settore automotive. I partecipanti saranno in grado di competere per prestigiosi premi in denaro e l’ambito titolo di Master of Pwn.
Il titolo di Master of Pwn, che identifica il vincitore assoluto, include un trofeo e vantaggi esclusivi, come lo stato Platinum del programma ZDI e un premio in punti ZDI. Il punteggio viene assegnato per ogni exploit riuscito, con un ordinamento casuale degli partecipanti per offrire a tutti un’opportunità equa. Penalità sono previste per eventuali ritiri o modifiche durante l’esecuzione delle prove.
I dettagli completi sulle regole per l’edizione Automotive 2025 sono disponibili qui, e il processo di registrazione è aperto fino alle 17:00 del 16 gennaio 2025, ora giapponese. Gli aggiornamenti in tempo reale saranno pubblicati sui canali ufficiali di ZDI, tra cui Twitter e LinkedIn, con copertura live tramite l’hashtag #P2OAuto.
