Ricerca in FOLBlog

Mar 282008
 
closeQuesto articolo è stato pubblicato 8 anni 3 mesi 2 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

image
Lo so, per l’ennesima volta darò l’impressione di accanirmi contro Apple.
Ma come evitare di commentare la notizia secondo la quale il MacBook Air con Leopard ha resisitito solo pochi minuti all’attacco degli hacker durante l’annuale concorso PWN to OWN 2008, che quest’anno si tiene durante il CanSecWest di Vancouver?
Si tratta di un concorso con il quale si sottopongono a test sulla sicurezza diversi PC equipaggiati con vari sistemi operativi (Leopard, Vista, Ubuntu), aggiornati alle ultime patch di sicurezza, che vengono “dati in pasto” a vari hacker; chi riesce a “bucare” i sistemi di sicurezza per primo vince sia il computer che è riuscito a violare sia un premio di $10.000.

Il primo giorno, erano permessi solo alcune tecniche per tentare di aggirare i sistemi di sicurezza dei vari sistemi:

the rules today allowed only for a contestant to use a remote pre-auth 0day to win a laptop and cash prize

escludendo cioè quelle tecniche di attacco che coinvolgevano le applicazioni presenti di default, e si è concluso con un nulla di fatto.

Il secondo giorno gli hacker in gara son sati lasciati liberi di provare a sfruttare eventuali falle di sicurezza ovunque si trovassero:

On day two of the contest, which begins at 12:30pm local time tomorrow, the attack surface will be expanded to all default-installed client side applications on the laptops as well. This means any exploit that involves following a link through email, vendor supplied IM client, or visiting a malicious website.

Alle 12:38 (8 minuti dopo l’inizio della competizione!) l’annuncio shock:

At 12:38pm local time, the team of Charlie Miller, Jake Honoroff, and Mark Daniel from Independent Security Evaluators have successfully compromised the Apple MacBook Air winning the laptop and $10,000 from TippingPoint’s Zero Day Initiative. They were able to exploit a brand new 0day vulnerability in Apple’s Safari web browser.

Al momento in cui scrivo è quasi concluso il terzo giorno di gara, l’ultimo a disposizione degli hackers per tentare di violare i PC con Vista ed Ubuntu, che fino ad ora resistono incolumi alla prova.
Oggi il premio in palio è di soli $5.000 perchè è permesso installare anche alcuni software, ritenuti popolari dai giudici della competizione, e sfruttare eventuali falle di sicurezza ivi contenute per tentare di violare il sistema attaccato:

As of today, since the Vista and Ubuntu laptops are still standing unscathed, we are now opening up the scope of the targets beyond just default installed applications on those laptops; any popular 3rd party application (as deemed “popular” by the judges) can now be installed on the laptops for a prize of $5,000 upon a successful compromise.

Ora lasciatemi levare qualche sassolino dalla scarpa.
<modalità acida: ON>

San Giuan fa no d’ingan, mi verrebbe da dire a chi è ancora ingenuamente convinto che un Mac sia il computer più sicuro e Safari il miglio browser esistente.
Probabilmente non era così azzardato affermare che:
– non esistono sistemi sicuri al 100% e che non esiste miglior sistema di sicurezza del buon senso;
– Safari è un browser con problemi di sicurezza tali da renderlo, attualmente, il meno consigliabile per la navigazione su Internet soprattutto su siti in cui si inseriscono dati delicati;
– Safari NON è il miglior browser del mondo;

Non sarebbe ora di aprire gli occhi?
Sappiamo che Babbo Natale e la Befana non esistono; per quanto si deve credere ancora alle bufale che Apple spara con sempre meno pudore e senso della misura?

Ora passerò giorni e giorni a leggere gli spassosissimi commenti degli Apple-fan che si sperticheranno in arrampicate sugli specchi nel tentativo di trovare qualche cosa di positivo (per loro e per Apple) in questa vicenda.
<modalità acida: OFF>

Update del 29/03/2008.
In “zona Cesarini” anche il notebook Fujitsu con Vista Ultimate SP1 è stato violato grazie ad una vulnerabilità in Adobe Flash.

7:30pm PST Update – Vista Laptop was Won!: Congratulations to Shane Macaulay from Security Objectives – he has just won the Fujitsu U810 laptop running Vista Ultimate SP1 after it was installed with the latest version of Adobe Flash.
….
The new Adobe Flash 0day vulnerability that Shane exploited has been acquired by the Zero Day Initiative, and has been responsibly disclosed to Adobe who is now working on the issue. Until Adobe releases a patch for this issue, neither we nor the contestants will be giving out any additional information about the vulnerability.

Molto opportuna la decisione di non fornire ulteriori dettagli sulla tecnica utilizzata per bucare Adobe Flash fino a quando Adobe non rilascerà una patch che corregga l’errore.


Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: