Pwn2Own è una competizione di hacking etico (hacking contest) che mette alla prova le capacità dei ricercatori esperti di sicurezza e degli “ethical hackers”. L’evento è organizzato da Trend Micro tramite il programma Zero Day Initiative (ZDI).
La società Trend Micro è nota per la pubblicazione periodica di report in cui analizza l’evoluzione delle minacce informatiche e delle strategie di difesa, con sezioni di dati specifici anche per l’Italia. Le analisi più recenti si focalizzano sull’impatto dell’IA, sia come leva per gli sviluppi nelle innovazioni, sia come strumento sfruttabile dai cybercriminali.
Il Cyber Risk Index (CRI) è un indicatore sviluppato da Trend Micro per aiutare le organizzazioni a valutare la propria esposizione ai rischi informatici. Si tratta di una misura quantitativa del livello di sicurezza informatica di un’azienda, rispetto alla probabilità di subire un attacco o un incidente.
Il calcolo del CRI avviene attraverso la piattaforma di Trend Vision One, Cyber Risk Exposure Management (CREM), che utilizza il proprio catalogo di eventi di rischio e segue questi passaggi:
– Analizza la “postura di sicurezza” dell’organizzazione, cioè quanto le difese informatiche (tecniche, organizzative e procedurali) siano efficaci nel proteggere dati, sistemi e infrastrutture;
– Valuta la superficie di attacco, identificando tutte le risorse aziendali esposte a potenziali minacce (server, endpoint, applicazioni, reti, cloud, ecc.);
– Assegna un punteggio di rischio a ciascuna risorsa, basandosi su un catalogo di eventi di rischio (es. vulnerabilità note, configurazioni errate, mancanza di aggiornamenti, comportamenti anomali);
– Aggrega i punteggi per formulare un indice complessivo per l’organizzazione, che rappresenti il livello di rischio cyber totale.
Il risultato del CRI è espresso come un numero intero da 0 a 100, con le seguenti fasce interpretative: Rischio basso da 0 a 30; medio da 31 a 69; alto da 70 a 100.
Il CRI medio globale, nel 2024, si è attestato su un valore di 38,4, con un rischio di livello “medio“, anche se in miglioramento rispetto agli anni precedenti.
Degno di interesse è il concorso Pwn2Own, organizzato da Trend Micro attraverso la sua divisione specializzata in sicurezza, denominata Zero Day Initiative (ZDI). Consiste in una competizione nel mondo della sicurezza informatica, definita “hacking contest”, dove sono messe alla prova le capacità dei ricercatori e degli “ethical hackers”.
https://www.trendmicro.com/en_us/zero-day-initiative
La prossima edizione, Pwn2Own Ireland 2025, si terrà a Cork, Irlanda, dal 21 al 24 ottobre. Le candidature saranno ammesse sino al prossimo il 16 ottobre, alle ore 17:00 (Irish Standard Time).
I concorrenti devono essere presenti in loco, dove sono invitati a trovare e sfruttare le vulnerabilità zero-day (bug non noti ai produttori o non ancora corretti), rinvenibili nei software, nei target assegnati, quali dispositivi e tecnologie più ampiamente in uso. Oppure possono costruire degli exploit, conformi alle regole del concorso, che possano compromettere i target assegnati.
Un exploit è un pezzo di codice, una sequenza di comandi o una procedura che sfrutta una vulnerabilità in un software, un sistema o un dispositivo, per ottenere comportamenti non previsti, quali l’esecuzione di codice arbitrario, escalation di privilegi, bypass di controlli, esfiltrazione dati, denial of service (Un attacco che mira a rendere non disponibile un servizio, un’applicazione o una risorsa di rete per gli utenti legittimi).
In sintesi: vulnerabilità (bug) + tecnica di sfruttamento = exploit.
Purtroppo, con l’integrazione sempre più diffusa di tecnologie “smart”, i dispositivi abilitati all’intelligenza artificiale quali fotocamere, smartphone, unità NAS (Network Attached Storage), cioè archiviazione collegata in rete, ecc, entrano a far parte della superficie di attacco aziendale. In particolare, quando smart home/office e IoT, oggetti fisici connessi a Internet quali sensori, dispositivi ecc., convergono nell’ambiente lavorativo, il risultato è un aumento della vulnerabilità.
Ogni exploit individuato mette in luce le fragilità dei sistemi, mostrando come gli hacker possano avviare e poi ampliare i propri attacchi.
Le vulnerabilità scoperte verranno comunicate al produttore del software o dispositivo, affinché possano essere corrette tramite patch. Una patch (o aggiornamento) è un pezzo di codice o un pacchetto che corregge, modifica o migliora un software, firmware o un sistema operativo già rilasciato.
l premi previsti per i concorrenti sono in denaro e spesso consistono anche nel dispositivo violato. Un premio di particolare interesse prevede 1 milione di dollari per un exploit zero-click su WhatsApp, il che evidenzia come le piattaforme di messaggistica, utilizzate sia in ambito personale che aziendale, siano diventate bersagli privilegiati.
Categoria: Scienza & Tecnologia – Il Corriere Nazionale
Per un’informazione completa
Consulta anche gli articoli pubblicati su:
