Il CanSecWest di Vancouver è una delle più importanti conferenze sulla sicurezza digitale applicata; professionisti di tutto il mondo presentano esperienze concrete riguardanti tecnologie emergenti. In questo contesto si svolge il PWN to OWN, una competizione della durata di tre giorni; i partecipanti devono riuscire a introdursi in alcuni dei S.O. più usati; i vincitori si portano a casa la macchina che hanno "scardinato" e un premio che va dai 20.000 ai 5.000 dollari.

Quest'anno i S.O. da attaccare erano un Mac OS X 10.5.2, un Windows Vista Ultimate SP1 e un Ubuntu 7.10, tutti in configurazione client "tipica" e provvisti delle ultime patch di sicurezza. Nella prima giornata si può tentare un intrusione solo al S.O. e solo attraverso connessioni di rete: si tratta di regole molto stringenti e non c'è stato alcun vincitore.

Nella seconda giornata le regole diventano meno rigide e si possono sfruttare applicazioni installate di default, come browser, programmi di posta elettronica, ecc. In queste condizioni, Charlie Miller e colleghi della Independent Security Evaluators sono riusciti a sfruttare una vulnerabilità del browser Safari di Mac OS X: con un clic su un sito progettato ad hoc sono riusciti ad aprire la porta Telnet e a penetrare nella macchina, portandosi a casa un MacBook Air e 10.000 dollari offerti dalla Tipping Point's Zero Day Initiative. Come utente Mac, Miller spera che il suo lavoro contribuisca a rendere più sicura la piattaforma.

Nella terza giornata le regole si fanno ancora più lasche, permettendo l'uso di software di terze parti. Windows Vista ha ceduto per mano di Shane Macaulay e di Alex Sotirov, ricercatore per la sicurezza alla VMware, che hanno sfruttato Adobe Flash per il loro exploit. La caduta di Vista avrebbe potuto essere più veloce, ma nei giorni precedenti la competizione, Macaulay aveva provato il suo codice su una macchina senza SP1, che implementa nuovi schemi di page protection e rende le cose più difficili. Usando codice JavaScript apposito, i due concorrenti sono riusciti ad aggirare la protezione e ad accedere alla macchina, portandosi a casa un laptop Fujitsu U810 e 5.000 $.

Quindi sul campo di battaglia rimaneva in piedi solo un VAIO VGN-TZ37CN con Ubuntu a bordo. Macaulay ha però detto che con qualche ulteriore ora di tweaking il suo exploit avrebbe funzionato anche su Ubuntu (nonché su Vista e su Mac OS X). Come da regolamento, tutti i vincitori hanno dovuto firmare un nondisclosure agreement; le vulnerabilità scoperte sono state comunicate immediatamente alle case produttrici di software.