Privacy Policy

Ricerca in FOLBlog

Mar 192009
 

Come da previsione, anche quest’anno Apple MacOSX è stato il primo sistema operativo ad essere violato al Pwn2Own2009[1] (la sfida tra hacker che si tiene all’interno del CanSecWest 2009) “grazie” a Safari.

A riuscirci è stato Charlie Miller, la stessa persona che violò MacOSX lo scorso anno (sempre grazie a Safari), ma stavolta ci ha messo pochi secondi anziché qualche minuto.
Miller si è concentrato su Safari perchè sostiene che, per 5.000 dollari in palio, non vale nemmeno la pena provare a violare Firefox o Internet Explorer, più resistenti, ma comunque non del tutto immuni.

Charlie Miller non è stato il solo a violare MacOSX sfruttando falle di sicurezza di Safari; a riuscirci sono stati anche Julien e Nils.
E mentre Jiulien e Nils son riusciti a violare anche Firefox, Nils è il solo che è riuscito a violare anche IE8 (la versione inclusa in Windows 7) grazie a quello che è stato definito un “brillante bug” del browser Microsoft e che ha consentito di aggirare le protezioni DEP e ASLR.
Ovviamente i dettagli sulle tecniche utilizzate per violare i sistemi presi di mira, verranno resi noti solo dopo che i relativi produttori avranno rilasciato delle patch che rimediano alle falle di sicurezza.

Ancora nessuno ha tentato di violare Google Chrome; probabilmente ci tenterà Nils durante il secondo giorno.

Quest’anno ci sono due novità che mi pare valga la pena rimarcare.
La prima è che il Pwn2Own si estende anche alle seguenti piattaforme mobili:

  • Blackberry(TBA)
  • Android(Dev G1)
  • iPhone(locked 2.0)
  • Nokia/Symbian(N95-1)
  • Windows Mobile (HTC Touch)

E fino ad ora tutte hanno resistito agli attacchi.

La seconda novità, che mi ha stupito non poco, è che tra i sistemi messi alla prova manca Linux.
Questa assenza potrebbe essere considerata attraverso varie chiavi di lettura:

  1. qualcuno potrebbe vederci la conferma del declino di interesse nei confronti di Linux come piattaforma desktop (c’era Windows 7 ma non Linux…);
  2. altri potrebbero interpretare il fatto come la conferma che è inutile tentare di violare Linux perché è troppo sicuro;
  3. altri potrebbero pensare che non si è trovato l’accordo su quale distribuzione testare.

Tenderei ad escludere la 2 perchè, come si può notare, sia MacOSX che Windows 7 sono stati violati sfruttando falle di sicurezza di Firefox.
E’ presumibile che anche la versione che gira sotto Linux le contenga dato che, molto probabilmente Firefox per MacOSX è molto molto simile (identico?) a Firefox per Linux.

Inoltre mi ha colpito che la piattaforma di test Microsoft fosse Windows 7 e non Vista (magari con l’SP2 RC installato).
A prescindere dal fatto che ha fatto più bella figura di un sistema operativo già collaudato come Leopard, non so quanto sia equa la competizione tra quest’ultimo ed un sistema operativo in versione beta.
Suppongo però che Microsoft abbia voluto sfruttare questo appuntamento per ottenere un feedback altamente qualificato sulla sicurezza di Windows 7 e di IE8.
Inoltre sembrerebbe ormai chiaro che Microsoft ha abbandonato Vista (ritenuto forse ormai talmente compromesso nell’immagine che non conviene più tentare di difenderlo) e sta puntando a tutta birra verso Windows 7.


[1]

Il CanSecWest è forse la più importante conferenza sulla sicurezza informatica; si tiene con cadenza annuale a Vancouver.
All’interno della manifestazione è prevista una sfida tra hacker (Pwn2Own) che, con in palio premi in danaro e computer, tentano di violare la sicurezza dei sistemi operativi più popolari.

La sfida si svolge in 3 giorni, con livelli di sicurezza degradanti: man mano che si installano plugin ed applicazioni, il livello di sicurezza tende a diminuire in quanto ciascun software incrementa la probabilità che il sistema contenga una qualche falla di sicurezza.
Queste le regole per la competizione di quest’anno:

  • Giorno 1: Installazione di default senza alcuna applicazione aggiuntiva (dovrebbe essere lo scenario più sicuro)
  • Giorno 2: Si aggiungono flash, java, .net, quicktime
  • Giorno 3: Si aggiungono alcune delle applicazioni più note come Acrobat Reader, etc.
Technorati Tag: Apple,Microsoft,,,sicurezza dati,,,Firefox,Linux,

Articoli simili:

  13 Risposte a “Sicurezza di MacOSX, Safari, Windows 7, IE8 e Firefox”

Commenti (12) Pingbacks (1)
  1. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows Vista

    Quello che non riesco a capire è perchè non si sia voluto “bucare” Linux. Che sia una fregatura più di quanto ci si immagini oppure per una (malcelata?) sottomissione al dio os e quindi guai a tentare di bucarlo perchè altrimenti ammetterebbero che non è così perfetto come invece tentano di far credere?

  2. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows Vista

    @ Dottor Jim:
    Lo scorso anno Ubuntu si era ben comportato per cui si potrebbe ragionevolmente pensare che non sia il timore di sfigurare a dettarne l’assenza.
    Purtroppo temo che l’assenza di una distribuzione Linux sia invece da interpretare come un calo dell’interesse.
    In sostanza mi pare si possa dire che il Pwn2Own di quest’anno sia molto proiettato nel futuro (vedi presenza di Windows 7 benchè in beta, vedi presenza delle piattaforme mobile), in un futuro dove Vista e Linux sembrerebbero non trovare alloggio.

  3. Usando Mozilla Firefox Mozilla Firefox 3.1b3 con Windows Windows 7

    In realtà anche l’anno scorso poteva essere bucato Linux, solo che vi si è rinunciato per via di questioni etiche…

  4. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows Vista

    @ Giulio:
    Ah, è vero! L’avevo scordato…

  5. Usando Safari Safari 528.16 con Mac OS X Mac OS X 10.5.6

    Inoltre sembrerebbe ormai chiaro che Microsoft ha abbandonato Vista (ritenuto forse ormai talmente compromesso nell’immagine che non conviene più tentare di difenderlo) e sta puntando a tutta birra verso Windows 7.

    E’ un fatto veramente inspiegabile 😆

    Che Microsoft abbandoni Vista per puntare su 7. Non riesco proprio a spiegarmi perchè 🙄

  6. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows XP

    Per fortuna che uscirà Windows 7 con Ie 8, non vedo l’ora. Venderò il mio iMac per tornare a Microsoft. Mi sentirò molto più sicuro e felice.

    Per fortuna poi che Linux ormai non c’è più, bene.

    Manca solo il nuovo Mobile 6.5 o 7 (perchè non uscire con il 9 subito?) e getterò anche il Nokia e l’iPhone.

    Grazie Microsoft e grazie allo zoccolo duro Microsoft! 😀

  7. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows XP

    Miller ha poi precisato di aver studiato approfonditamente Safari negli ultimi mesi, e di essersi presentato alla manifestazione con l’exploit già pronto.
    Non pago, nel pomeriggio di ieri Miller ha spostato la sua attenzione su un Sony Vaio con Windows 7 e Internet Explorer 8, riuscendo a violare anche i software di Redmond in pochi secondi.”

    Ma secondo voi, occorre calcolare il tempo di studio e di creazione del link oppure il tempo che si occorre a cliccare quel link?

  8. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows XP

    Altra cosa, uno degli sponsor dell’evento è proprio Microsoft. 😉

  9. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows Vista

    Shance ha scritto:

    Altra cosa, uno degli sponsor dell’evento è proprio Microsoft.

    Cosa che, incredibilmente, l’anno scorso, quando c’era linux, e questo non è stato bucato, non è stata reclamizzata da nessuno. Ma tu guarda le coincidenze.

  10. Usando Internet Explorer Internet Explorer 8.0 con Windows Windows XP

    E cos avorresti dire?

  11. Usando Mozilla Firefox Mozilla Firefox 3.0.7 con Windows Windows Vista

    Shance ha scritto:

    E cos avorresti dire?

    Assolutamente niente. Semplicemente notando un certo sarcasmo nei tuoi commenti (che sono sicuro essere assolutamente involontario, no?), mi sono limitato a sottolineare una “curious and curiously” (10 euro di sconto negli apple store per chi coglie la citazione) coincidenza. Sai, a volte mi piace notare questi dettagli. Ma sono sicuro che ciò ti lasci totalmente indifferente.

  12. Usando Mozilla Firefox Mozilla Firefox 3.0.8 con Windows Windows XP

    capito …… ie : windows = safari : macosX ! :mrgreen:

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: