Ricerca in FOLBlog

Mar 192009
 
closeQuesto articolo è stato pubblicato 8 anni 5 mesi 3 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Come da previsione, anche quest’anno Apple MacOSX è stato il primo sistema operativo ad essere violato al Pwn2Own2009[1] (la sfida tra hacker che si tiene all’interno del CanSecWest 2009) “grazie” a Safari.

A riuscirci è stato Charlie Miller, la stessa persona che violò MacOSX lo scorso anno (sempre grazie a Safari), ma stavolta ci ha messo pochi secondi anziché qualche minuto.
Miller si è concentrato su Safari perchè sostiene che, per 5.000 dollari in palio, non vale nemmeno la pena provare a violare Firefox o Internet Explorer, più resistenti, ma comunque non del tutto immuni.

Charlie Miller non è stato il solo a violare MacOSX sfruttando falle di sicurezza di Safari; a riuscirci sono stati anche Julien e Nils.
E mentre Jiulien e Nils son riusciti a violare anche Firefox, Nils è il solo che è riuscito a violare anche IE8 (la versione inclusa in Windows 7) grazie a quello che è stato definito un “brillante bug” del browser Microsoft e che ha consentito di aggirare le protezioni DEP e ASLR.
Ovviamente i dettagli sulle tecniche utilizzate per violare i sistemi presi di mira, verranno resi noti solo dopo che i relativi produttori avranno rilasciato delle patch che rimediano alle falle di sicurezza.

Ancora nessuno ha tentato di violare Google Chrome; probabilmente ci tenterà Nils durante il secondo giorno.

Quest’anno ci sono due novità che mi pare valga la pena rimarcare.
La prima è che il Pwn2Own si estende anche alle seguenti piattaforme mobili:

  • Blackberry(TBA)
  • Android(Dev G1)
  • iPhone(locked 2.0)
  • Nokia/Symbian(N95-1)
  • Windows Mobile (HTC Touch)

E fino ad ora tutte hanno resistito agli attacchi.

La seconda novità, che mi ha stupito non poco, è che tra i sistemi messi alla prova manca Linux.
Questa assenza potrebbe essere considerata attraverso varie chiavi di lettura:

  1. qualcuno potrebbe vederci la conferma del declino di interesse nei confronti di Linux come piattaforma desktop (c’era Windows 7 ma non Linux…);
  2. altri potrebbero interpretare il fatto come la conferma che è inutile tentare di violare Linux perché è troppo sicuro;
  3. altri potrebbero pensare che non si è trovato l’accordo su quale distribuzione testare.

Tenderei ad escludere la 2 perchè, come si può notare, sia MacOSX che Windows 7 sono stati violati sfruttando falle di sicurezza di Firefox.
E’ presumibile che anche la versione che gira sotto Linux le contenga dato che, molto probabilmente Firefox per MacOSX è molto molto simile (identico?) a Firefox per Linux.

Inoltre mi ha colpito che la piattaforma di test Microsoft fosse Windows 7 e non Vista (magari con l’SP2 RC installato).
A prescindere dal fatto che ha fatto più bella figura di un sistema operativo già collaudato come Leopard, non so quanto sia equa la competizione tra quest’ultimo ed un sistema operativo in versione beta.
Suppongo però che Microsoft abbia voluto sfruttare questo appuntamento per ottenere un feedback altamente qualificato sulla sicurezza di Windows 7 e di IE8.
Inoltre sembrerebbe ormai chiaro che Microsoft ha abbandonato Vista (ritenuto forse ormai talmente compromesso nell’immagine che non conviene più tentare di difenderlo) e sta puntando a tutta birra verso Windows 7.


[1]

Il CanSecWest è forse la più importante conferenza sulla sicurezza informatica; si tiene con cadenza annuale a Vancouver.
All’interno della manifestazione è prevista una sfida tra hacker (Pwn2Own) che, con in palio premi in danaro e computer, tentano di violare la sicurezza dei sistemi operativi più popolari.

La sfida si svolge in 3 giorni, con livelli di sicurezza degradanti: man mano che si installano plugin ed applicazioni, il livello di sicurezza tende a diminuire in quanto ciascun software incrementa la probabilità che il sistema contenga una qualche falla di sicurezza.
Queste le regole per la competizione di quest’anno:

  • Giorno 1: Installazione di default senza alcuna applicazione aggiuntiva (dovrebbe essere lo scenario più sicuro)
  • Giorno 2: Si aggiungono flash, java, .net, quicktime
  • Giorno 3: Si aggiungono alcune delle applicazioni più note come Acrobat Reader, etc.
Technorati Tag: Apple,Microsoft,,,sicurezza dati,,,Firefox,Linux,

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: