Pwn2Own, nuove regole

Fervono i preparativi per l'annuale contest hacking. Cambiano le regole e si alza ancora la posta in palio

Roma – I browser verranno ulteriormente messi sotto torchio, nella prossima edizione del Pwn2Own che partirà nei primi giorni di marzo. Il celebre raduno hacker premierà gli esperti di sicurezza utilizzando un sistema di valutazione completamente rivisto.

La gara ospitata dal CanSecWest non si limiterà a premiare l’exploit più veloce, ma introdurrà un sistema a punti che riconoscerà creatività e impegno degli hacker partecipanti. Il ricercatore con il maggior numero di punti accumulati nei tre giorni vincerà i 60mila dollari in palio, il secondo classificato porterà a casa 30mila dollari e il terzo 15mila.

Gli sfidanti potranno tentare più volte e attaccare i browser su più fronti. 10 crediti saranno assegnati agli exploit sfruttati subito, il primo giorno, mentre gli attacchi del secondo e terzo giorno guadagneranno bonus minori. La scoperta di una nuova vulnerabilità “0-day” frutterà ben 32 punti.

I soldi in palio vengono offerti da Google: Microsoft, Mozilla e Apple non hanno ancora formulato offerte. Il colosso di Mountain View ha deciso di quadruplicare il primo premio finale rispetto allo scorso anno, ma chiede agli hacker di concentrarsi sulla sandbox di Chrome ed è pronto ad offrire altri 20mila dollari per ogni forzatura del suo browser.

Roberto Pulito

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Giovanni C. scrive:
    truecrypt
    adorabile truecrypt.. doppia password che rivela dati diverse senza possibilità si sapere se esistono del dati crifrati con una seconda password. viva la privacy
  • pappa scrive:
    peroperò
    la password dice?l'ho dimenticata..
  • uno qualsiasi scrive:
    L'immancabile XKCD
    XKCD ha una risposta per tutto:[img]http://imgs.xkcd.com/comics/security.png[/img]Meglio del tubo di gomma.
  • prova123 scrive:
    A questo punto ...
    ci saranno i delinquenti che faranno da tana libera tutti, basta che avranno documenti ad hoc per autoaccusarsi ... più idioti di così si muore!
  • attonito scrive:
    sovvertite le regole base
    ma non c'era quel discorso per il quale l'accusato non puo essere costretto a rivelare prove contro se stesso?
    • Videoteca Nemesi scrive:
      Re: sovvertite le regole base
      - Scritto da: attonito
      ma non c'era quel discorso per il quale
      l'accusato non puo essere costretto a rivelare
      prove contro se
      stesso?si ma loro fanno come gli pare
  • collione scrive:
    articolo impreciso
    da ArsTechinica: "Fifth Amendment issues can also arise if acknowledging ownership of a laptop or the existence of relevant documents is itself incriminating. But the police had recorded a phone call between Fricosu and her husband in which she seemed to acknowledge ownership of the laptop and to reference incriminating material on it. Blackburn ruled that barring prosecutors from using the fact that she was able to decrypt the laptop as evidence against her in court would satisfy the Fifth Amendment concerns with compelled disclosure."ovvero il giudice riconosce il valore del quinto emendamento, ma ha ritenuto che in questo caso non è applicabile, in quanto la donna si è già autoaccusata in una conversazione telefonica col maritopraticamente "se ci hai già detto che c'hai i dati criptati pieni di prove incriminanti, come cacchio fai ad appellarti al quinto emendamento?"
    • il solito bene informato scrive:
      Re: articolo impreciso
      - Scritto da: collione
      da ArsTechinica: "Fifth Amendment issues can also
      arise if acknowledging ownership of a laptop or
      the existence of relevant documents is itself
      incriminating. But the police had recorded a
      phone call between Fricosu and her husband in
      which she seemed to acknowledge ownership of the
      laptop and to reference incriminating material on
      it. Blackburn ruled that barring prosecutors from
      using the fact that she was able to decrypt the
      laptop as evidence against her in court would
      satisfy the Fifth Amendment concerns with
      compelled
      disclosure."

      ovvero il giudice riconosce il valore del quinto
      emendamento, ma ha ritenuto che in questo caso
      non è applicabile, in quanto la donna si è già
      autoaccusata in una conversazione telefonica col
      marito

      praticamente "se ci hai già detto che c'hai i
      dati criptati pieni di prove incriminanti, come
      cacchio fai ad appellarti al quinto
      emendamento?"ed io che ti credevo un Collione... ;)
    • marcovaldo scrive:
      Re: articolo impreciso
      nominalmente e' come dici, il punto "scardinante" e' l'esistenza di evidenza precedente, se questa evidenza non c''e il 5 emendamento dovrebbe consentire di rifiutare la password. il punto pero' e' che ora si apre la porta ad un generalizzato obbligo di dare la password, visto che si tratta di valutare quanta evidenza precedente ci sia per decidere se l'obbligo di rivelare la password sussista. di qui il senso dell'articolo.
  • Criptainer scrive:
    Santo Truecrypt
    ma soprattutto santa Plausible Deniability!Approposito, per usa con soddisfazione quest'ottimo programma: hai considerato una donazione (anche minima) verso chi ha a cuore la tua privacy?Credo che in futuro la questione sarà sempre più rilevante, considerando la preoccupante velocità con la quale i paesi occidentali stiano importando il modello di "democrazia" cinese...
    • Videoteca Nemesi scrive:
      Re: Santo Truecrypt
      http://it.wikipedia.org/wiki/Metodo_del_tubo_di_gomma
      • collione scrive:
        Re: Santo Truecrypt
        - Scritto da: Videoteca Nemesi
        http://it.wikipedia.org/wiki/Metodo_del_tubo_di_goguarda che parliamo degli USA mica dell'Iranla tortura non è ancora prevista per i reati comuni e si spera non lo sarà maima a quel punto avremo altro a cui pensare che proteggere i nostri hard disk e si suppone pure che qualche piccola rivoluzione scoppierà
        • Videoteca Nemesi scrive:
          Re: Santo Truecrypt
          - Scritto da: collione
          - Scritto da: Videoteca Nemesi


          http://it.wikipedia.org/wiki/Metodo_del_tubo_di_go

          guarda che parliamo degli USA mica dell'Iran

          la tortura non è ancora prevista per i reati
          comuni e si spera non lo sarà
          maibhe è prevista in circostanze eccezionali a discrezione del presidente o chi per lui (patrioct act); inoltre anche quando non era prevista non si son mai fatti problemi a torturare, subappalltando in egitto o al sicuro da occhi indiscreti dentro guantanamo
          ma a quel punto avremo altro a cui pensare che
          proteggere i nostri hard disk e si suppone pure
          che qualche piccola rivoluzione
          scoppierànon finchè non mancano panem et circenses
      • Criptainer scrive:
        Re: Santo Truecrypt
        - Scritto da: Videoteca Nemesi
        http://it.wikipedia.org/wiki/Metodo_del_tubo_di_goLa critica mossa al diniego plausibile è un no-sense.Per essere torturati affinchè venga rivelata la password si deve essere nella situazione nella quale il nemico sospetti l'utilizzo di sistemi di cifratura ulteriori o complessi. Truecrypt, come altri sistemi di cifratura degni di questo nome, implementa una serie di tecniche che rende impossibile l'identificazione tramite crittoanalisi di un contenitore nascosto all'interno del cifrato.Ma se si é torturati a prescindere, ovvero nel caso in cui il nemico sospetti o meno la presenza di dati nascosti, il problema non sono più i dati o la cifratura ma la certezza che in ogni caso si verrà torturati. In questo caso il diniego plausibile c'entra ben poco.Mentre nel caso specifico, qualora un giudice richiedesse per sentenza la rivelazione della password, il diniego plausibile si dimostrerà utilissimo. P.S. Purtroppo leggendo il tuo nick mi rendo conto che probabilmente sto solo perdendo tempo a risponderti...
        • Shrike scrive:
          Re: Santo Truecrypt

          P.S. Purtroppo leggendo il tuo nick mi rendo
          conto che probabilmente sto solo perdendo tempo a
          risponderti...D'altronde se capisse qualcosa di informatica non sarebbe un videotecaro...Leggiti la risposta al mio primo post sulle one-time-password se vuoi farti una risata :)
          • Videoteca Nemesi scrive:
            Re: Santo Truecrypt
            - Scritto da: Shrike

            P.S. Purtroppo leggendo il tuo nick mi rendo

            conto che probabilmente sto solo perdendo
            tempo
            a

            risponderti...

            D'altronde se capisse qualcosa di informatica non
            sarebbe un
            videotecaro...
            Leggiti la risposta al mio primo post sulle
            one-time-password se vuoi farti una risata
            :)io non capisco nulla di informatica e tu proponi one time password per crittografare dei dati? e come faresti di grazia a generare N password diverse che riescano a decrittare tutte lo stesso insieme di dati crittografati?
          • Wolf01 scrive:
            Re: Santo Truecrypt
            Gli hash esistono per quello
          • Videoteca Nemesi scrive:
            Re: Santo Truecrypt
            - Scritto da: Wolf01
            Gli hash esistono per quelloche ci fai con un algoritmo di hash per lo scopo che si propone il tizio?ti serve una algoritmo di crittografia (non di hashing) che ti permetta di crittare e decrittare gli stessi dati con N password differenti; me ne citi uno ragionevolmente sicuro per cortesia?
          • Wolf01 scrive:
            Re: Santo Truecrypt
            Puoi usare MD5, si riescono a trovare diverse password con lo stesso risultato (per questo è usato per generare codici pseudo-casuali e per la validità dei dati (crc check) e non tanto per crittografare visto il problema di sicurezza che comporterebbe)-----------------------------------------------------------Modificato dall' autore il 25 gennaio 2012 17.18-----------------------------------------------------------
          • Criptainer scrive:
            Re: Santo Truecrypt

            io non capisco nulla di informatica e tu proponi
            one time password per crittografare dei dati? e
            come faresti di grazia a generare N password
            diverse che riescano a decrittare tutte lo stesso
            insieme di dati
            crittografati?Ti hanno già risposto che gli algoritmi di hash servono anche a questo.Ma perchè continui a farti ridicolizzare dando risposte insulse o facendo domande provocatorie su argomenti che evidentemente conosci ben poco?Che sia una peculiarità comune nella vs. professione?
          • Videoteca Nemesi scrive:
            Re: Santo Truecrypt
            - Scritto da: Criptainer

            io non capisco nulla di informatica e tu
            proponi

            one time password per crittografare dei
            dati?
            e

            come faresti di grazia a generare N password

            diverse che riescano a decrittare tutte lo
            stesso

            insieme di dati

            crittografati?

            Ti hanno già risposto che gli algoritmi di hash
            servono anche a
            questo.

            Ma perchè continui a farti ridicolizzare dando
            risposte insulse o facendo domande provocatorie
            su argomenti che evidentemente conosci ben
            poco?
            Che sia una peculiarità comune nella vs.
            professione?che ci fai con un algoritmo di hash per lo scopo che si propone il tizio?ti serve un algoritmo di crittografia (non di hashing) che ti permetta di crittare e _decrittare_ gli stessi dati con N password differenti; me ne citi uno ragionevolmente sicuro per cortesia?
          • Izio01 scrive:
            Re: Santo Truecrypt
            - Scritto da: Videoteca Nemesi

            che ci fai con un algoritmo di hash per lo scopo
            che si propone il
            tizio?
            ti serve un algoritmo di crittografia (non di
            hashing) che ti permetta di crittare e
            _decrittare_ gli stessi dati con N password
            differenti; me ne citi uno ragionevolmente sicuro
            per
            cortesia?Non sono un esperto, e in effetti nemmeno io ho capito il discorso delle One Time Password. Per di più è irrilevante, visto che essere tu stesso non più in grado di decifrare i dati ti renderebbe automaticamente colpevole, come tu segnalavi.Però per poter accedere a dati cifrati con più di una password, CREDO che normalmente i dati veri e propri vengano cifrati con una password casuale, la quale a sua volta viene cifrata con tutte le password reali che ti servono. In questo modo se vuoi togliere o cambiare una password tra quella autorizzate, non devi cifrare daccapo tutti i dati, ma cambiare solo il blocchetto che contiene la corrispondente cifratura della password generata.
          • unaDuraLezione scrive:
            Re: Santo Truecrypt
            contenuto non disponibile
  • tucumcari scrive:
    password?
    Quale password? :D"plausible deniability"http://en.wikipedia.org/wiki/Plausible_deniability :p
  • Kerteh scrive:
    Non me la ricordo
    (da leggersi con la voce di schettino)"... non me la ricordo,è buio..."
    • tucumcari scrive:
      Re: Non me la ricordo
      - Scritto da: Kerteh
      (da leggersi con la voce di schettino)

      "... non me la ricordo,
      è buio..."Vada a bordo XXXXX! :D
      • trullo scrive:
        Re: Non me la ricordo
        - Scritto da: tucumcari
        - Scritto da: Kerteh

        (da leggersi con la voce di schettino)



        "... non me la ricordo,

        è buio..."
        Vada a bordo XXXXX!
        :Dno non mi pare che sia quella la password
  • panda rossa scrive:
    O la password o la democrazia...
    O la password o la democrazia.Una delle due e' destinata a scomparire.
    • Videoteca Nemesi scrive:
      Re: O la password o la democrazia...
      la democrazia non è mai esistita, una parvenza di democrazia è strumentale alla gestione di enormi masse di persone senza che queste ultime si sentano sotto il giogo di qualcuno.
    • quota scrive:
      Re: O la password o la democrazia...
      - Scritto da: panda rossa
      O la password o la democrazia.
      Una delle due e' destinata a scomparire.Parole sante, e visto che la seconda non esiste realmente ho paura che quella che scomparirà sarà la prima!:)
    • James Kirk scrive:
      Re: O la password o la democrazia...
      - Scritto da: panda rossa
      O la password o la democrazia.
      Una delle due e' destinata a scomparire.Perchè, pensi di ancora di vivere in un sistema Democratico?Non viviamo in stati dispotici solo perchè la Storia dimostra che negli stati dispotici le 'caste' che comandano fanno meno soldi che non negli stati cosiddetti 'liberi', ma questa non è democrazia, o lo ' solo al 30%.
  • gaspare scrive:
    password
    Quindi difatto chi dimentica la password di un proprio dispositivo cifrato, magari anni prima, rischia di venire arrestato!L'articolo, tralatro, riferice di un caso di operazioni finanziarie fraudolente e non di reati che destano grande allarme sociale o pericolo.In una rete aziendale un dipendente potrebbe creare un dispositivo cifrato che se rinvenuto in fase di indagini potrebbe creare dei grossi problemi all'amministratore dell' azienda.Se questa norma venisse applicata "su larga scala" renderebbe troppo pericoloso l'impiego della cifratura relegandola ai criminali che, comunque, la impiegherebbero come rischio minore.
    • panda rossa scrive:
      Re: password
      - Scritto da: gaspare
      In una rete aziendale un dipendente potrebbe
      creare un dispositivo cifrato che se rinvenuto in
      fase di indagini potrebbe creare dei grossi
      problemi all'amministratore dell'
      azienda.In una rete aziendale alcuni dati devono venire cifrati per legge.E non passa giorno che non arrivi una mezza dozzina di ticket del tipo: "ho dimenticato la password".Potrebbe anche essere che questa norma serva per aggirare l'articolo 18.Essendo illegale dimenticare la password, questo potrebbe diventare giusta causa per un licenziamento.Adesso lo scrivo al sindacato.
      • ruppolo scrive:
        Re: password
        - Scritto da: panda rossa
        - Scritto da: gaspare


        In una rete aziendale un dipendente potrebbe

        creare un dispositivo cifrato che se
        rinvenuto
        in

        fase di indagini potrebbe creare dei grossi

        problemi all'amministratore dell'

        azienda.

        In una rete aziendale alcuni dati devono venire
        cifrati per
        legge.
        E non passa giorno che non arrivi una mezza
        dozzina di ticket del tipo: "ho dimenticato la
        password".

        Potrebbe anche essere che questa norma serva per
        aggirare l'articolo
        18.
        Essendo illegale dimenticare la password, questo
        potrebbe diventare giusta causa per un
        licenziamento.

        Adesso lo scrivo al sindacato.Scrivi anche che cazzeggi durante l'orario di lavoro.
        • panda rossa scrive:
          Re: password
          - Scritto da: ruppolo

          Scrivi anche che cazzeggi durante l'orario di
          lavoro.E' la dimostrazione che i server che amministro funzionano bene.
  • Shrike scrive:
    OTP
    generate su carta... bisogna solo avere la prontezza di distruggere il foglietto quando è ora...
    • Videoteca Nemesi scrive:
      Re: OTP
      - Scritto da: Shrike
      generate su carta... bisogna solo avere la
      prontezza di distruggere il foglietto quando è
      ora...si va bene per cifrare un numero di telefono o altra stringa corta, ma se devi cifrare tanta roba che ti porti un elenco del telefono di foglietti? e poi inserisci mille pagine di dati su carta a mano tramite tastiera? (si potrebbe velocizzare la cosa memorizzando i dati casuali su carta utilizzando dei codici a barre facilmente leggibili da uno scanner, ma il problema viene solo attenuato non risolto).Distruggere per distruggere a questo punto tieni un sacchetto di termite sopra i tuoi dischi e la inneschi con un nastro di magnesio avvolto sopra ad una resistenza; all'occorrenza spingi un bottone e buonanotte ai suonatori, non c'è metodo del tubo di gomma che tenga una volta che i dati non esistono più.
      • Shrike scrive:
        Re: OTP
        ROTFL... ma secondo intendevo che uno si cifra i suoi dati e poi si stampa il contenuto cifrato su carta? Su carta hai solo l'elenco di 10-20 password valide solo una volta e solo in quella sequenza...http://it.wikipedia.org/wiki/One-time_password
        • Videoteca Nemesi scrive:
          Re: OTP
          - Scritto da: Shrike
          ROTFL... ma secondo intendevo che uno si cifra i
          suoi dati e poi si stampa il contenuto cifrato su
          carta?no, sembrava tu intendessi che uno si cifra e decifra i suoi dati utilizzando una mole di dati random su carta delle stesse dimensioni dei dati da cifrare/decifrare e poi ne facessi lo xor bit a bit
          Su carta hai solo l'elenco di 10-20 password
          valide solo una volta e solo in quella
          sequenza...
          http://it.wikipedia.org/wiki/One-time_passwordsembrava tu stessi parlando di one time pad e non di one time password; anche perchè non capisco cosa cambi utilizzare delle one time password rispetto a questa legge; al tribunale non interessa che sistema di cifratura usi, se gli passi la roba decifrata bene, altrimenti in galera
          • Shrike scrive:
            Re: OTP

            anche perchè non capisco
            cosa cambi utilizzare delle one time password
            rispetto a questa legge; al tribunale non
            interessa che sistema di cifratura usi, se gli
            passi la roba decifrata bene, altrimenti in
            galeraPerfavore prima di sparare altre castronerie leggiti il link che ti ho passato... son due righe...One-time-password non è un sistema di cifratura... è un modo per generare (tipicamente caratteri random) e memorizzare password valide una sola volta!Se fai in tempo a mangiarti o bruciare il foglietto non puoi più rivelare al giudice una cosa che non sai neanche tu!!
          • Videoteca Nemesi scrive:
            Re: OTP
            - Scritto da: Shrike

            anche perchè non capisco

            cosa cambi utilizzare delle one time password

            rispetto a questa legge; al tribunale non

            interessa che sistema di cifratura usi, se
            gli

            passi la roba decifrata bene, altrimenti in

            galera

            Perfavore prima di sparare altre castronerie
            leggiti il link che ti ho passato... son due
            righe...
            One-time-password non è un sistema di
            cifratura... è un modo per generare (tipicamente
            caratteri random) e memorizzare password valide
            una sola
            volta!
            Se fai in tempo a mangiarti o bruciare il
            foglietto non puoi più rivelare al giudice una
            cosa che non sai neanche
            tu!!aridaje, al giudice non interessa se tu hai modo o meno di decifrare i tuoi dati, per questo sono assurde sentenze del genere o le leggi in vigore in inghilterra relative a questo argomento, anche se tu dimenticassi realmente la password sarebbe uguale; o la fornisci o vai in galera.
          • anon scrive:
            Re: OTP
            - Scritto da: Videoteca Nemesi
            anche se tu dimenticassi realmente la password
            sarebbe uguale; o la fornisci o vai in
            galera.beh, ma uno può sempre agire per convenienza: se sai già di avere "roba che scotta" e che rivelando la password rischieresti non 1, ma 5-10, o addirittura 20 anni di galera... allora ti conviene non dire niente, farti quei pochi mesi previsti dalla legge per "non aver rivelato la password", e poi uscirtene lindo e pulito (più o meno) uno volta scontata la tua pena.viceversa, sei sai già di non avere "niente di grosso" da nascondere, e che anche rivelando la password, rischieresti poco o niente (sicuramente meno di quello che rischieresti non rivelandola)... allora ti conviene dirla subito e farla finita.si procederà poi a dibattere sul contenuto/liceità dei tuoi dati, e lì ci sono generalmente maggiori possibilità di difendersi.
Chiudi i commenti