Twittercronaca della gara di hacking Pwn2Own alla CanSecWest security conference


[English readers: English links in the reference list at the end of this post]

Come vi avevo detto lunedì, sapevo che stasera (ops… ieri sera, visto che la mezzanotte è già passata 😉 ci sarebbe stato l’inizio del Day 1 della mitica gara Pwn2Own. E’ stato quindi facile vincere i colpi di sonno sul divano e collegarsi dopo cena per vedere i risultati. Cerco nei miei feed RSS… Nulla! Mi sintonizzo sul canale twitter dello sponsor dell’evento @thezdi e ..sorpresa: l’inizio della gara è stato spostato e sta per iniziare a momenti sotto i miei occhi..

22:21 #pwn2own moved back to 3 PT. First up is the iPhone.

Per seguire la gara mi creo un canale sintonizzato sul tag #pwn2own e inizio a seguire le azioni …sembra di vedere una finale del superbowl

23:01 RT @thezdi: Sitting down the first contestants. Stay tuned.

Non si fa tempo a sentire il fischio di inizio ed ecco il primo goal:

23:12 Vincenzo Iozzo and Ralf Philipp Weinmann successfully exploit the iPhone via Safari! Their payload pulled the SMS database.

La notizia rimbalza in decine di tweets e si scopre che sono bastati solo 20 secondi:

iPhone’s SMS cracked in 20 seconds-http://bit.ly/dw2jmz

Ryan Naraine di ZDNet scrive il pezzo in diretta, mentre assiste live all’evento:

down goes iphone. my story is here http://blogs.zdnet.com/security/?p=5836

… e si scopre che Vincenzo Iozzo è un 22-year-old Italian researcher from Zynamics, e come fa notare l’amico @_paperino

The entire process took about two weeks, Weinmann said. #Pwn2Own ‘nough said

…riferito al tempo che ci è voluto per realizzare l’exploit dopo aver trovato la vulnerabilità… Ma ecco che ricomincia la gara:

23:39 Charlie Miller is up next at 3:45 PST (5 mins)

Meno di un minuto e salta anche Mac OS X… il tweet di annuncio non riesce ad essere così veloce…

23:44 Charlie Miller (@0xcharlie) popped the MacBook Pro via Safari. His payload returned a full command shell.

Sotto a chi tocca, è il turno di IE8

23:51 Peter Vreugdenhil (@WTFuzz) is up against Internet Explorer 8 at 4:15 PT.

down goes ie8 on windows 7. aslr+dep bypass. the winner is @wtfuzz

Rilancio questo tweet che esprime bene la sensazione tipica del tifoso di IE8 che è in me :-)

IE8 has lasted longer than Safari on OSX & iPhone #pwn2own IE8 makin’ me proud. yes, I know its only a matter of time.

Potenza di twitter: un californiano a me sconosciuto, @geek_news, sente il bisogno di fare reply al mio tweet e di dirmi:

@felicianointini it lasted longer but it still failed…can’t wait to see the rest of the results

come io sento il bisogno di rispondergli:

@Geek_News yes, you are right, it’s the golden security rule: give me a vulnerability and I can hack everything

Ultimo giro… tocca a Firefox:

Nils is going next against Firefox at 4:45 PT

Nils from MWR InfoSecurity (@MWRLabs) succeeded against Firefox on Windows 7 with the quintessential calc.exe launching payload.

Che notte ragazzi, sembrava davvero di essere alla finale del campionato del mondo di calcio… tanto che qualcuno ha esclamato:

Pwn2own needs to be on ESPN or something….

Per oggi è finita, e sono le 2:00 … meglio andare a nanna, ma non vedo l’ora di seguire domani il Day 2…

Feliciano

Other related posts/resources:

Comments (1)