Ricerca in FOLBlog

mar 282008
 
closeQuesto articolo è stato pubblicato 6 anni 8 mesi 24 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi.

image
Lo so, per l’ennesima volta darò l’impressione di accanirmi contro Apple.
Ma come evitare di commentare la notizia secondo la quale il MacBook Air con Leopard ha resisitito solo pochi minuti all’attacco degli hacker durante l’annuale concorso PWN to OWN 2008, che quest’anno si tiene durante il CanSecWest di Vancouver?
Si tratta di un concorso con il quale si sottopongono a test sulla sicurezza diversi PC equipaggiati con vari sistemi operativi (Leopard, Vista, Ubuntu), aggiornati alle ultime patch di sicurezza, che vengono “dati in pasto” a vari hacker; chi riesce a “bucare” i sistemi di sicurezza per primo vince sia il computer che è riuscito a violare sia un premio di $10.000.

Il primo giorno, erano permessi solo alcune tecniche per tentare di aggirare i sistemi di sicurezza dei vari sistemi:

the rules today allowed only for a contestant to use a remote pre-auth 0day to win a laptop and cash prize

escludendo cioè quelle tecniche di attacco che coinvolgevano le applicazioni presenti di default, e si è concluso con un nulla di fatto.

Il secondo giorno gli hacker in gara son sati lasciati liberi di provare a sfruttare eventuali falle di sicurezza ovunque si trovassero:

On day two of the contest, which begins at 12:30pm local time tomorrow, the attack surface will be expanded to all default-installed client side applications on the laptops as well. This means any exploit that involves following a link through email, vendor supplied IM client, or visiting a malicious website.

Alle 12:38 (8 minuti dopo l’inizio della competizione!) l’annuncio shock:

At 12:38pm local time, the team of Charlie Miller, Jake Honoroff, and Mark Daniel from Independent Security Evaluators have successfully compromised the Apple MacBook Air winning the laptop and $10,000 from TippingPoint’s Zero Day Initiative. They were able to exploit a brand new 0day vulnerability in Apple’s Safari web browser.

Al momento in cui scrivo è quasi concluso il terzo giorno di gara, l’ultimo a disposizione degli hackers per tentare di violare i PC con Vista ed Ubuntu, che fino ad ora resistono incolumi alla prova.
Oggi il premio in palio è di soli $5.000 perchè è permesso installare anche alcuni software, ritenuti popolari dai giudici della competizione, e sfruttare eventuali falle di sicurezza ivi contenute per tentare di violare il sistema attaccato:

As of today, since the Vista and Ubuntu laptops are still standing unscathed, we are now opening up the scope of the targets beyond just default installed applications on those laptops; any popular 3rd party application (as deemed “popular” by the judges) can now be installed on the laptops for a prize of $5,000 upon a successful compromise.

Ora lasciatemi levare qualche sassolino dalla scarpa.
<modalità acida: ON>

San Giuan fa no d’ingan, mi verrebbe da dire a chi è ancora ingenuamente convinto che un Mac sia il computer più sicuro e Safari il miglio browser esistente.
Probabilmente non era così azzardato affermare che:
– non esistono sistemi sicuri al 100% e che non esiste miglior sistema di sicurezza del buon senso;
– Safari è un browser con problemi di sicurezza tali da renderlo, attualmente, il meno consigliabile per la navigazione su Internet soprattutto su siti in cui si inseriscono dati delicati;
– Safari NON è il miglior browser del mondo;

Non sarebbe ora di aprire gli occhi?
Sappiamo che Babbo Natale e la Befana non esistono; per quanto si deve credere ancora alle bufale che Apple spara con sempre meno pudore e senso della misura?

Ora passerò giorni e giorni a leggere gli spassosissimi commenti degli Apple-fan che si sperticheranno in arrampicate sugli specchi nel tentativo di trovare qualche cosa di positivo (per loro e per Apple) in questa vicenda.
<modalità acida: OFF>

Update del 29/03/2008.
In “zona Cesarini” anche il notebook Fujitsu con Vista Ultimate SP1 è stato violato grazie ad una vulnerabilità in Adobe Flash.

7:30pm PST Update – Vista Laptop was Won!: Congratulations to Shane Macaulay from Security Objectives – he has just won the Fujitsu U810 laptop running Vista Ultimate SP1 after it was installed with the latest version of Adobe Flash.
….
The new Adobe Flash 0day vulnerability that Shane exploited has been acquired by the Zero Day Initiative, and has been responsibly disclosed to Adobe who is now working on the issue. Until Adobe releases a patch for this issue, neither we nor the contestants will be giving out any additional information about the vulnerability.

Molto opportuna la decisione di non fornire ulteriori dettagli sulla tecnica utilizzata per bucare Adobe Flash fino a quando Adobe non rilascerà una patch che corregga l’errore.


Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

  15 Risposte a “Qual’e’ il sistema operativo piu’ sicuro?”

Commenti (14) Pingbacks (1)
  1. Usando Internet Explorer Internet Explorer 7.0 con Windows Windows Vista

    Per completare l’opera sarebbe da ridere se oggi dovessero riuscire a bucare Vista grazie ad iTunes! :D

  2. Usando Mozilla Firefox Mozilla Firefox 2.0.0.13 con Mac OS Mac OS

    Mi piace la melina col “vermetto”….!!!! Dico solo una cosa: si sono accaniti tutti con il macbook air che era in palio, per vincerlo!!! ahahahahah!!! E poi anche i 10000 dollari oltre al portatile non sono male… Quelli con Vista e Ubuntu non li guardava nessuno…..

    Dai e’ una battuta!!

  3. Usando Internet Explorer Internet Explorer 7.0 con Windows Windows Vista

    Ma sei quello stesso Franco che censura le battute che gli altri fanno sul tuo blog? (preciso che era una battuta assolutamente all’acqua di rosa e che non offendeva nessuno, magari non faceva ridere…)

  4. Usando Safari Safari 419.3 con iOS iOS

    @EnricoG

    Sono Franco di Sandeisacher.net , non ho mai censurato nessuno, ne io ne Shance!!

    L’unica possibilitá di un commento che non appare subito é inserire una mail “ad cazzum” , si finisce in “awaiting moderation”, ma poi lo pubblichiamo subito! Hai avuto problemi con i commenti? Tranquillo per la battuta ci mancherebbe!

  5. Usando Mozilla Firefox Mozilla Firefox 3.0b4 con Linux Linux

    Ho usato Safari per un po’ ai tempi del Mac, parliamo di 2003/2004 (e un po’ di 2005).
    Lo abbandonai perche’ era poco compatibile (meno di Konqueror) e tendeva ad avere comportamenti strani. Moltissimi siti (compresa la mia banca) non funzionavano a dovere e mi accorgevo di dover sempre di piu’ lanciare Firefox.
    Possono migliorarlo, questo e’ vero, ma secondo me partono sempre “indietro” rispetto agli altri.
    La Apple rischia di diventare la nuova Microsoft.

  6. Usando Internet Explorer Internet Explorer 7.0 con Windows Windows Vista

    Il commento era apparso subito, poi qualche ora dopo era “maggicamente” sparito… ripeto era una battuta di una riga… non ci perdo certo il sonno… solo che mi faceva sorridere l’associazione delle due cose ;-)

  7. Usando Safari Safari 525.13 con Mac OS X Mac OS X 10.5.2

    Interessante notare che Ubuntu è l’unica che non è caduta. :D

  8. Usando Safari Safari 419.3 con iOS iOS

    Quindi Ubuntu non é stato violato?

  9. Usando Mozilla Firefox Mozilla Firefox 2.0.0.13 con Windows Windows Vista

    @sirus & Franco
    Già Ubuntu non è stato violato.
    Probabilmente la versione per Linux del player Adobe non è bacato…

  10. Usando Safari Safari 525.13 con Mac OS X Mac OS X 10.5.2

    @EnricoG (ultimo OT lo giuro)

    Riposta pure il commento sul nostro blog, sabato o venerdi mi sembra Shance ha aggiornato a WordPress 2.5 , magari e’ scappato qualcosa.

    @Tutti

    Leggevo in giro, fonti piu’ o meno attendibili, che non hanno violato Ubuntu perche’ erano tutti pro-linux e per “etica” non volevano bucarlo… bah…

    Hanno anche detto che si erano preparati prima il lavoro sul MacBookAir, anche perche’ sinceramente non e’ possibile che una persona si segga al tavolo del mac e in 2 minuti lo buchi senza aver preparato prima l’attacco, non c’e nemmeno il tempo materiale per scrivere 2 cose!!

  11. Usando Mozilla Firefox Mozilla Firefox 2.0.0.13 con Windows Windows Vista

    @tutti
    Evidentemente la comunità religiosa degli Apple-fan stavolta ha accusato il colpo.
    Niente difese a spada sguainata contro l’orda dei Windowsianie e Linuxuani all’attacco del dio Apple…niente di niente.
    Mi ero preparato, pronto ad annotare le perle che in queste occasioni gli utenti devoti ad Apple ci regalano con impareggiabile generosità.
    Ma nulla.
    Che delusione.
    La botta, evidentemente, è stata bella forte.

  12. Usando Safari Safari 525.13 con Mac OS X Mac OS X 10.5.2

    Non e’ questione di accusare il colpo Enrico. Attaccare e sconfiggere Safari (Apple) fa molto piu’ eco che entrare in altri sistemi, sicuramente. Tempo fa avevano pubblicato un baco, una pagina online con del codice maligno, e parlavano solamente di un baco gravissimo nell’iPhone. Ho provato ad andare sul sito incriminato con safari per Mac, si piantava. Firefox per Mac, si piantava. Firefox per Pc, si piantava. Explorer (6 o 7 non ricordo davvero) per pc, si piantava. Cosa hanno scritto pero’ diciamo i “giornali” ? “grave falla in Safari per iPhone, ora gli hacker all’attacco del telefono della mela”. Sicuramente piu’ eco di “un codice maligno che blocca quasi tutti i browser” ti sembra?

    Il mio parere, che in questo caso non e’ da Apple Fan lo giuro, e’ che se avessero voluto preparare un attacco ben fatto e studiato da tempo (come han fatto per mac) per Vista o Linux, sarebbero riusciti secondo me nell’intento. Magari con piu’ difficolta’, non ne dubito, ma sarebbero riusciti. Ogni giorno ci sono falle nuove, sia in Linux che in Mac che in Windows, e come dici tu nel post, “non esistono sistemi sicuri al 100% e che non esiste miglior sistema di sicurezza del buon senso” , queste sono sante parole.

    Anche se non sembra, io non sono completamente di parte, se fanno una ca77ata quelli di “infinite loop” va detto, ci mancherebbe. Questo test che hanno fatto mi pare pero’ leggermente “taroccato” , come dicevano i contendenti che hanno ammesso (gia’ detto in un mio commento prima) di non aver usato un hack su linux per “etica”. Dai su…. questa mi pare una perla!!!! ahahah!!

  13. Usando Mozilla Firefox Mozilla Firefox 2.0.0.13 con Windows Windows Vista

    @Franco
    E’ molto probabile che tu abbia ragione.
    Ciò su cui occorrerebbe riflettere è come mai Apple, in così poco tempo, è riuscita a spodestare Microsoft nella classifica della più odiata del pianeta.
    E’ presumibile che chi partecipa a manifestazioni di quesl tipo, abbia competenze fuori dal comune e chiaramente non ci va improvvisando.
    E’ anche plausibile che si prepari qualcosa “da casa”.
    Se è vero, come potrebbe anche essere plausibile, che Linux è stato attaccato blandamente per una questione etica, con la stessa ottica occorre riconoscere che allora si è voluto lanciare un segnale pro-Linux e assolutamente contro-Apple.
    Il tutto senza voler valutare l’ironia del contrappasso su Safari, presentato pochi giorni prima come il “miglior browser su ogni piattaforma” in perfetto delirio-di-onnipotenza-Apple, e clamorosamente smentito dai fatti.
    A leggere con quella ottica allora si è voluto bocciare lo stile Apple, si voluta dare una lezione all’azienda che (evidentemente non lo penso solo io) quando spara cazzate simili non si rivolge a chi ne capisce, ma a quella fascia di utenza sprovveduta che è anche la più credulona e che, secondo Apple, evidentemente, costituisce una parte su cui “conviene investire”.
    Se così fosse, il risultato sarebbero prodotti Apple sempre peggiori e più costosi (intanto c’è chi li compra ugualmente). Son convinto che stia già accadendo.
    Persone come te, che di certo non appartengono all’ “utonteria” di Apple, dovrebbero essere schierati al mio fianco nel biasimare atteggiamenti simili da parte di Apple (ma di qualunque azienda li adotti), anche per correggerne gli eccessi; invece, è più probabile trovarli acriticamente barricati in difesa di cose difendibili solo con slogan che è Apple stessa a suggerire e che MAI si son rivelati veri.

    Tornando al contest, se fosse vero che Linux è stato risparmiato e che ci si preparati da casa per esser pronti a bucare gli altri due sistemi operativi, il vincitore, a ben vedere sarebbe Vista:
    ci son voluti 3 giorni di tentativi per bucarlo e si è riusciti nell’intento solo attraverso un bug di un’applicazione non-Microsoft (anche se l’affermazione, fatta così, è certamente superficiale e meriterebbe un approfondimento).
    Infatti Linux è stato risparmiato per cui nulla si puo’ dire sulla sua reale sucirezza mentre Leopard e Safari sono stati massacrati e ne sono usciti con le ossa rotte.
    Quel che mi da fastidio di tutta la vicenda, che di per se sarebbe un eccellente motivo di riflessione a 360°, è l’assoluta disonestà intellettuale che traspare dall’atteggiamento, stranamente silenzioso e pacato, della comunità Apple-fan.
    Vogliamo immaginare cosa sarebbe successo se la sorte di Leopard & Safari fosse capitata a Vista?

  14. Usando Mozilla Firefox Mozilla Firefox 2.0.0.13 con Windows Windows XP

    @Enrico

    Ciau, io sul Mac uso Firefox, con Google Sync.

    L’attacco alla macchina Mac è avvenuto ad una “Fiera di hacker” con in palio il computer violato. Ovvio che avrebbero puntato sul Mac Book Air.

    Il notebook con Vista si doveva ancora accendere quando hanno acherato il MacBook!!! :)

    Del resto i problemi di Windows XP e Vista li abbiamo visti ogni giorno, da 10 anni… non mi stupisco pure più. Largo a nuovi bachi.

 Lascia un commento

(richiesto)

(richiesto)

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

%d blogger cliccano Mi Piace per questo: