Stavo leggendo stamattina che Microsoft non rilascerà delle patch straordinarie per Internet Explorer prima del pwn2own.

Il pwn2own, per chi non lo sapesse, è un evento che si svolge tra qualche giorno durante il CanSecWest a Vancouver, sponsorizzato dai DVLabs di Tipping Point.
L’evento ha una grande eco mediatica perché organizzato molto “furbescamente“.

In pratica si mettono ad disposizione dei dispositivi, tipicamente portatili e smartphone, con relativi browser ed il primo che riesce a bucare i sistemi si porta a casa sia l’hardware che un po’ di soldini. Per bucare si intende prendere il possesso del dispositivo (pwn) facendo navigare il browser in un sito web appositamente creato per sfruttare una vulnerabilità. L’eco mediatica viene generata dalla classifica di cracking dei diversi browser (IE, Firefox, Safari e Chrome), e la stampa generalista fa a gara nel dire che un sistema è più vulnerabile di altri.

La cosa non è vera ovviamente, perché il pwn2own è vinto da ricercatori che tirano fuori al momento giusto il loro zero-day, bucando il sistema in pochi secondi. L’evento quindi non può essere usato per valutare la sicurezza di questo o quel sistema, ma solo la bravura (o la furbizia, boh…) di alcuni ricercatori.

Fatta questa premessa e considerata appunto la risonanza che ha sulla stampa, i produttori di browser si affrettano, nelle settimane che precedono l’evento, a tappare quanti più buchi possibili, per cercare di spuntare le armi in mano ai concorrenti del pwn2own.
Microsoft ha invece deciso di non includere nulla relativo a IE nel suo patch tuesday, rispettando la sua decisione di aggiornare il browser solo nei mesi pari (infatti aveva rilasciato a febbraio un elevato numero di fix).

Trovo la scelta particolarmente azzeccata e ulteriore segno di maturità da parte dell’azienda di Redmond nel campo dell’infosec. Sia perché indica una volontà di non seguire l’evento del momento solo per comodità mediatiche, ma di rimanere coerenti con la propria politica di sicurezza informatica (che in effetti ha portato frutti su diversi fronti). Inoltre, come correttamente analizzato da Computer World, evitando di rilasciare patch all’ultimo secondo Microsoft può concentrare i suoi sforzi sul rilasciare il fix della vulnerabilità trovata al pwn2own il prima possibile.

Perché comunque sa che IE verrà bucato. E forse ne uscirà meglio di Apple, o Google o Mozilla, che pur avendo rilasciato tonnellate di fix verranno sconfitti comunque, e magari anche in meno tempo…

Per chi volesse seguire il pwn2own in diretta può leggere i tweet della Zero Day Initiative o di Aaron Portnoy dei DVLabs.

Dopo l’evento analizzerò meglio i risultati.

Bye!