La nuova edizione della popolare competizione per hacker e ricercatori metterà a disposizione anche un’auto elettrica di Tesla, boccone prelibato per exploit e vulnerabilità in grado di fruttare quasi 1 milione di dollari in “taglie”.
L’edizione 2019 del contest Pwn2Own includerà una nuova categoria per ricercatori e hacker “etici”, che tra poche settimane potranno concentrarsi sul codice digitale presente su un veicolo Tesla Model 3 alla ricerca di potenziali vulnerabilità di sicurezza. In palio ci sono premi in denaro dal valore totale di più di 900.000 dollari.
Prevista per il 20-22 marzo nell’ambito della conferenza CanSecWest, nella città canadese di Vancouver, la contesa hacker del Pwn2Own 2019 includerà infatti la nuova categoria Automotive: ricercatori, esperti e “smanettoni” del codice potranno mettere a ferro e fuoco un modello della celebre berlina elettrica della casa automobilistica di Elon Musk.
Il premio più generoso, dal valore di $250.000, andrà a chi riuscirà a eseguire codice malevolo su tre dei sistemi più importanti in una Tesla, vale a dire il gateway, l’autopilota o il VCSEC (Vehicle Controller Secondary): il primo componente si incarica di connettere chassis, gruppo motopropulsore e altri elementi dell’auto, l’autopilota assiste il guidatore durante la guida e il VCSEC gestisce le funzioni di sicurezza come l’allarme.
Taglie per tutti
Altre taglie sostanziose sono poi previste per chi riesce a mettere fuorigioco l’autopilota con un attacco DoS ($50.000), per gli hack contro la serratura elettrica ($100.000), il bus CAN (Controller Area Network) che interconnette i microcontroller di bordo ($100.000), il sistema di infotainment integrato ($85.000 per l’accesso al kernel dell’OS), la connettività Wi-Fi o Bluetooth ($60.000). Infine, un bonus aggiuntivo andrà a chi riuscirà a sviluppare codice in grado di sopravvivere al riavvio dei sistemi ($50.000).
La generosità degli sponsor di Pwn2Own (la giapponese Trend Micro per mezzo della sua Zero Day Initiative) è ovviamente più che giustificata, visto che si tratta di scoprire le vulnerabilità all’interno di un prodotto (l’auto elettrica digital-connessa) sempre più popolare presso gli utenti. Una volta scoperte, le falle verranno comunicate a Tesla e poi rese pubbliche dopo la loro correzione.
Ma al Pwn2Own 2019 l’Automotive non sarà certo l’unica categoria a offrire opportunità di guadagno agli esperti dei bug nel codice, visto che a Vancouver si terranno come al solito contese per chi riesce a violare gli ipervisori delle virtual machine, i browser Web, i sistemi operativi, le suite di produttività (Office) e i software applicativi più utilizzati.