Un concorso per "bucare" Vista

L’anno scorso al CanSecWest, importante fiera di sicurezza informatica, un concorso ha tenuto col fiato sospeso molti fanatici della Mela: erano in palio 10.000 dollari e un MacBook Pro per chi fosse riuscito a “bucare” una macchina Mac nel minor tempo possibile.

Come ricorderete (dopo aver “allentato” il regolamento) il premio finì nelle mani di Dino Dai Zovi e Shane Macauley, esperti di sicurezza e del mondo Mac, che riuscirono a sfruttare un buco in Quick Time (all’epoca presente anche nella versione per Windows).

Quest’anno gli organizzatori provano a rendere la sfida ancora più ricca, dato che il concorso è esteso anche a Windows Vista e Linux. In pratica il primo che riesce a bucare un qualsiasi sistema operativo, si porta a casa il ricco premio…

Il concorso è interessante, perché pur sembrando a tutti gli effetti una “gara” a chi è il più sicuro tra i tre sistemi operativi (ed in parte lo è), ha come scopo principale, anche a detta degli organizzatori, quello di sensibilizzare i produttori sulla tematica della sicurezza.

Sembra infatti che lo slogan “più sicuro” valga solo quando si deve vendere, poi l’interesse delle aziende migra verso altri lidi.
Un piccolo esempio? In molti hanno provato il famoso “hack” del riconoscimento vocale di cui abbiamo parlato anche noi. Non è stato mai utilizzato, forse non è utilizzabile neanche in pratica… eppure non sarebbe costato molto aggiungere delle precauzioni nel Service Pack 1, cosa che non si è verificata.
Anche Apple non ha dato “un grande esempio di performance”, dopo il contest dello scorso anno. La falla in QuickTime, infatti, venne tappata solo due mesi dopo, eppure la pubblicità che aveva avuto è stata notevole!

Un mio dubbio su questo concorso riguarda il fatto che le falle vengono divulgate prima di aver dato il tempo ai produttori di tapparle. Alla fine, non è un modo per far correre inutilmente dei rischi agli utenti?