www.MegaLab.it

[Silver Black]

Tipping Point segnala che la disfida fra sistemi operativi che ho citato pochi giorni fa, in corso al CanSecWest, ha il suo primo sconfitto: Mac OS X, tramite il browser Safari.

Charlie Miller (in primo piano, nella foto, mentre "buca" un MacBook Air), Jake Honoroff e Mark Daniel dela Independent Security Evaluators si sono aggiudicati così l'Air e 10.000 dollari.

La falla sfruttata è nuova ed è stata comunicata in modo riservato ad Apple. ItWorld nota che l'impresa è riuscita soltanto il secondo giorno, quando le regole d'ingaggio sono state allentate fino a includere la visita a un sito Web specifico o l'apertura di e-mail: questo significa che la falla è sfruttabile soltanto se l'aggressore riesce a convincere l'utente a visitare un sito-trappola specifico (cosa peraltro abbastanza facile da ottenere, se l'utente non è prudente.

Nel corso del primo giorno, nessuno dei tre sistemi operativi (Vista, Ubuntu e OS X completamente patchati) è stato bucato.


[fonte: blog di Paolo Attivissimo]

[Mr.TFM]

La falla sfruttata è nuova ed è stata comunicata in modo riservato ad Apple. ItWorld nota che l'impresa è riuscita soltanto il secondo giorno, quando le regole d'ingaggio sono state allentate fino a includere la visita a un sito Web specifico o l'apertura di e-mail: questo significa che la falla è sfruttabile soltanto se l'aggressore riesce a convincere l'utente a visitare un sito-trappola specifico (cosa peraltro abbastanza facile da ottenere, se l'utente non è prudente.

E allora buona notte.........

Mi pare però che gli hacker si siano concentrati su mac.... Almeno nei primi due giorni....

Ma non riesco a ritrovare la fonte....


Comunque bene....
Anzi benissimo!
E' l'ennesima dimostrazione che i punti deboli dei sistemi operativi (qualunque essi siano ) sono quasi sempre i punti di contatto con il web....
Leggasi i Browser e i client di e-mail.............

[Silver Black]

Fonte:
http://attivissimo.blogspot.com

[The King of GnG]

Comunque bene....
Anzi benissimo!
E' l'ennesima dimostrazione che i punti deboli dei sistemi operativi (qualunque essi siano ) sono quasi sempre i punti di contatto con il web....
Leggasi i Browser e i client di e-mail.............

'Spetta a fare lo sborone

Il tallone di achille di Apple è il suo essere "piattaforma", con tutto integrato. Sul Mac c'è già tutto quello che ti serve, iTunes, Safari eccetera. E' un blocco monolitico, una sorta di promozione del marchio per cui le componenti software preinstallate sul sistema "sono" il marchio stesso. Apple crede tanto in questa visione al punto da trasformare iTunes in un software adware - sono d'accordo col CEO di Mozilla - promuovendo l'installazione di una versione aggiornata di Safari attraverso il player multimediale anche qualora il browser non fosse installato....

Dunque? Dunque come dimostra il caso clamoroso di AACS, BD+ di Blu-ray e tutte le altre inutili DRM presentipassateefuture - AACS usa AES, algoritmo di cifratura talmente potente da essere utilizzato dalla NSA che ne ha deciso la distribuzione pubblica - la robustezza di una catena si vede da quanto riesce a reggere ognuno dei suoi anelli.

E se la catena-Mac dura giusto un paio di minuti direi che la catena-Mac, lato sicurezza, non è che sia eccezionalmente meglio della catena-Windows. Riguardo l'accesso fisico alla macchina, non vedo dove sia il problema: come Gromozon insegna, l'exploit che più va per la maggiore attualmente consiste nello sparare script malevoli da indirizzi remoti specifici.....

[gialloporpora]

Non esiste software invulnerabile, il software sicuro è quello per cui non resiste un reale interesse a bucarlo.
Comunque, il fatto che Apple sia stato bucato mica vuol dire che non è un buon OS.
A forza di dire che era invulnerabile ha attirato le attenzioni degli hacker[:-P], a bucare l'emmenthal non c'è gusto .
Comunque, secondo me l'utente Mac ci guadagna perché capisce di non stare in un carrarmato e farà più attenzione.
Ciao

[ste_95]

promuovendo l'installazione di una versione aggiornata di Safari attraverso il player multimediale anche qualora il browser non fosse installato....

Ecco, ieri mi si è aperto l'Apple Software Updater perché iTunes notificava l'esistenza di una nuova versione... E per poco non installavo anche Safari. Ma io dico: chi l'ha chiesto? Lo ho installato? Sai che è nel mio interesse avere quel programma? E allora, se la risposta è no, vuol dire che non voglio Safari.

Anche il fatto che per usare iTunes sia necessario avere installato anche QuickTime non l'ho capito molto bene. Evidentemente iTunes da solo non è in grado di farmi ascoltare la musica, ma lui solo puoi sincronizzare il mio iPod? Beh, se è così significa che Apple ha sviluppato un software che da solo non è assolutamente in grado di svolgerei l suo lavoro.

[Mr.TFM]

Riguardo alla questione "Safari" in aggiornamento software, se volete ne parliamo, bisogna però aprire un altro topic.

[Aesir]

http://dvlabs.tippingpoint.com/blog/2008/03/28/pwn-to-own-final-day-and-wrap-up

Alla fine anche Vista è caduto. Nell'ultimo giorno della competizione anche il nuovo sistema di casa Microsoft è stato espugnato attraverso una falla scovata nell'ultima versione di Flash Player.
Alla fine dei tre giorni del challenge, l'unico sistema operativo rimasto indenne dopo i molteplici tentativi degli hacker si è dimostrato essere la popolare distribuzione Linux "Ubuntu".

Ognuno tragga le sue conclusioni

[Silver Black]

Semplicemente Linux Ubuntu era l'unico che era stato testato per ben 6 mesi, come si evince da qui.

Inoltre una falla dovuta a FlashPlayer è appunto un problema di Adobe, e solo relativamente di Microsoft Windows.

Le mie conclusioni sono che UNIX e Linux sono i sistemi più datati del mondo informatico, per cui è ovvio che siano i più affidabili. Windows ci sta arrivando (anche se MacOS dovrebbe essere ben più vicino a UNIX...).
Un po' di pazienza, please.

[Aesir]

Non si può dare la colpa unicamente ad Adobe, infatti flash player è distribuito sia per linux che per windows e solo in uno di questi la falla lascia possibilità di nuocere.

E poi mi sembra che se ubuntu a 6 mesi, Win Vista ha più di un anno

[Mr.TFM]

Vorrei solo dire che la news pubblicata sul portale reca alcune inesattezze.....
http://www.MegaLab.it/1849

Innanzitutto il vincitore ha vinto un MacBook Air (che è un'altra cosa rispetto al Macbook), seconda cosa, la frase:

Quanto dura la sicurezza di un Mac? Due minuti

Sembra che in due minuti dall'inizio del "concorso" l'hacker abbia fatto quello che ha fatto, quando in realtà, ci ha messo due giorni, e ci è riuscito sì, in due minuti, ma dopo che gli organizzatori hanno deciso di MODIFICARE il REGOLAMENTO, per permettere di usare il browser per violare il sistema. Percarità, per brevità di titolo, è una frase utilizzata da molti altri siti, ma secondo me non è che descriva esattamente le cose....

Alla fine leggendo questo articolo, Miller si era già preparato il compitino da casa:
http://www.computerworld.com/action/art ... Id=9072959
E' stato così veloce perché ha lavorato all'exploit per diversi giorni.

Dice anche che la versione attuale di Webkit non soffre più di questo problema, perché quella utilizzata in Safari 3.1 è vecchiotta..... (diciamo che ha almeno un mese)

[Aesir]

Decisamente questa volta il titolo di King è stato un po' esagerato.

Tutti i concorrenti hanno avuto la possibilità di prepararsi in anticipo e molti lo hanno fatto, il regolamento prevedeva già un primo ammorbidimento per il secondo giorno e un ulteriore per il terzo, in compenso il premio sarebbe passato prima da 20000$ a 10000$, poi a 5000$.
Quindi quello che ha hackato il MacBook Air si era preparato apposta per il secondo giorno (e neppure da solo, ma con una sorta di team) per tutto il mese precedente.

[The King of GnG]

Ah, che bello! Critiche, finalmente, nessuno me ne fa mai, e io alzo il tiro per provocarle. Son contento, grazie XD

Innanzitutto il vincitore ha vinto un MacBook Air (che è un'altra cosa rispetto al Macbook)

Yep, la mia fonte diceva Macbook, so....

seconda cosa, la frase:

Quanto dura la sicurezza di un Mac? Due minuti

Sembra che in due minuti dall'inizio del "concorso" l'hacker abbia fatto quello che ha fatto, quando in realtà, ci ha messo due giorni

Sorry, but this is hot water XD Non credo che chi ha programmato Gromozon ci abbia messo meno di un bel po' di settimane di duro lavoro, gli exploit non nascono mai dal niente, e io l'ho scritto eh, che il codice era stato appositamente preparato per lo scopo

Miller ha a quel punto indicato all'operatore un sito specifico da visitare, precedentemente preparato con un exploit grazie al quale l'hacker è riuscito

, e ci è riuscito sì, in due minuti, ma dopo che gli organizzatori hanno deciso di MODIFICARE il REGOLAMENTO, per permettere di usare il browser per violare il sistema. Percarità, per brevità di titolo, è una frase utilizzata da molti altri siti, ma secondo me non è che descriva esattamente le cose....

Alla fine leggendo questo articolo, Miller si era già preparato il compitino da casa:
http://www.computerworld.com/action/art ... Id=9072959
E' stato così veloce perché ha lavorato all'exploit per diversi giorni.

No invece, descrive esattamente quello che è successo. Dico io, devo specificare quanti attacchi hanno come vettore Internet Explorer oggigiorno su Windows? Non saprei, il termine "tutti" è abbastanza realistico per te? Per me si, e non credo sia una mia semplice opinione personale XD Il regolamento, inoltre, leggendo bene anche l'articolo che segnali, prevedeva che al secondo giorno le restrizioni di accesso sarebbero diminuite e così il valore dei premi in palio.....

Dice anche che la versione attuale di Webkit non soffre più di questo problema, perché quella utilizzata in Safari 3.1 è vecchiotta..... (diciamo che ha almeno un mese)

Questo è un po' pretestuoso come argomento, mi pare. Finché non aggiornano Safari, non è che si può fare il gioco del "non vale perché domani tutto si risolve". Il contest prevedeva lo sfruttamento di una falla zero day, e quello è successo. Con buona pace della superiore sicurezza del Mac, amen.

Decisamente questa volta il titolo di King è stato un po' esagerato.

No affatto, è molto appropriato, basta misurare le proporzioni. Mac OS X ha questa "patina" di imbattibilità, ora per quanto a qualcuno possa rosicare questa patina non ce l'ha più, e amen

Poi, per concludere, lo sappiamo bene un po' tutti che Mac OS è incommensurabilmente superiore a Windows (vista) per molti aspetti, ma non è questo quello che si discute qui. Qui si discute sull'apertura di una breccia nella "inviolabilità" del Mac, che credo - qualcuno potrebbe anche dire "temo" - farà gola a tanti in un futuro prossimo.....


King out.

[Mr.TFM]

A parte che non rosica nessuno, credo. Almeno non io.
Non ho installato un Antivirus il giorno stesso che è stato violato il Mac in quel concorso.... Nè ho intenzione, per il resto dei miei giorni, di installarne uno.... Né mi preoccupo per la sicurezza dei miei Mac, né per Safari, che sto usando in questo preciso istante......

Anyway....

Confermo che il MacBook era un Air. Ben diverso da un MacBook normale... E' una precisazione banale ai fini della notizia, ma non al momento di compilare l'assegno in un Mac Store....

Le mie fonti, (e ne ho lette un bel po' quel giorno, di fonti su questa notizia) dicevano che l'attacco è stato effettuato nel tardo pomeriggio....

Percui i casi sono due:

O non ci ha messo due minuti perché se il secondo giorno era già stato stabilito che il regolamento sarebbe variato, sarebbe stato variato in the morning....
Oppure il regolamento è stato variato due minuti prima che il signorino in questione mandasse Safari sul sito che aveva preparato a casa.....

Sempre riguardo a Safari, il signorino in questione, ha detto che Webit attualmente non soffre più di quel problema. Magari ne ha altri, pare che ce ne siano una 30ina di problemi irrisolti in Safari, e che siano ben noti (anche e soprattutto al signorino)....
Però quello pare che non ce l'abbia più. Io dico: BENE! Forse se ne erano già accorti in Apple.


Insomma la notizia di per sé non è sconvolgente...
Hanno bucato Mac. WOW!
Ci sono riusciti....
Dagli e dagli, anche le cipolle diventano agli.... O no?

Insomma, ora i Mac stanno raggiungendo il 10% (WOW ) di mercato e cominciano a interessare anche gli Hacker....

BENE!
Sono contento, vi dirò....
Se si mettono loro a scoprire gli errori, e li rendono pubblici, allora, vuol dire che Apple li corregge. E se Apple li corregge, come ha sempre fatto, io posso stare tranquillo.

Peccato che di problemi sul sistema, tali da consentigli di violare il Mac non ne abbia trovati.... E qui si ritorna al punto di partenza.
I Browser sono davvero il rene dei sistemi operativi. Purtroppo.

[The King of GnG]

Sai cosa? Da uno che dice che non rosica, ne spendi di parole per sminuire una notizia "minima" XD

E a me pare che il regolamento prevedesse, da quanto ho capito - e da quanto è stato riportato da più parti - che il contest era già stato progettato su più giorni, con un livello di difficoltà decrescente. Quindi non vedo dove sia il problema, nemmeno sVista è stato bucato da remoto.....

E riguardo l'accollare il problema ai browser, io ti ripeto che continui a sminuire un fatto che è abbastanza importante: l'ecosistema Mac, quello formato dal sistema operativo Mac, dal browser Mac, dal player multimediale Mac, non è una raccaforte. E amen. Fossi in te comincerei a pensarci, a un antivirus XD

[Mr.TFM]

Beh, d'altronde non tutti abbiamo il dono della sintesi....

Io qualche volta ce l'ho...
Stavolta no....

Comunque l'antivirus non lo installo neanche se me lo regalano.....

[Pacopas]

devo dire che ho letto anche io molte news sull'argomento... io ho dedotto queste notizie.

come dice king è vero che era già stato stabilito che con il passare dei giorni il premio di ingaggio sarebbe stato diminuito e quindi le difficoltà sarebbero state allentate.

secondo è veramente banale dire il mac è caduto, è solo una notizia che fa scalpore, primo perché l'hacker, non sò mr chiamarlo signorino è un po' riduttivo, è uno dei migliori... , si è concentrato su mac per avere il mac air (era un air king, basta vedere la foto, la volevo postare ma non la trovo più, del vincitore con in mano il suo bel mac book air.

ci sono cose che non sono state dette. per bucare il mac si erano preparati a casa il codice, dopo un paio d'ore hanno bucato vista,

e bhè due ore direte voi... vista era dotato di sp1, quindi si è trovato difronte ad un SO diverso da quello dove si era allenato.. che vuol dire che questo genio dell'hackeraggio ha trovato e sfruttato una falla di vista in due ore... senza avere nulla di programmato.

anche linux poteva essere bucato. lo stesso hacker ha dichiarato insieme ad altri partecipanti che non lo ha fatto volutamente. primo per questioni etiche secondo perché il codice di linux è disponibile a tutti e non è una vera sfida per un hacker.... dategli torto.

per quanto riguarda l'antivirus, non hai mai usato un mac o linux se dici questo, sono totalmente di versi in concezione i sistemi UNIX... la struttura intrinseca è meno messa a rischio.

per mr. da quello che sò il bug è stato corretto perché appena violato la apple ha fatto firmare un patto di non divulgazione, l'ha chiamato da parte e si è fatta spiegare come ha fatto...

la verità come sempre in questi casi è nel mezzo è facile che chi riporti queste notizie lo faccia in modo da farle sembrare notizione e inoltre sono soggette a creare leggende metropolitane... comunque anche io avrei provato a prendermii il mac book air

[winman]

windows è un sistema sicuro : sono i servizi in esso che lo fottono !!!

il buco in flash è solo la punta dell'iceberg !

su www.blackviper.com c'è un'ampia documentazione sui servizi da windows 2000 a Vista!

[Mr.TFM]

per mr. da quello che sò il bug è stato corretto perché appena violato la apple ha fatto firmare un patto di non divulgazione, l'ha chiamato da parte e si è fatta spiegare come ha fatto...

Non proprio...
WebLit al momento del concorso non era già più affetta dal problema...
Come ho già detto il motore di Safari 3.1 (quello affetto dal problema, a quanto pare) risale a un mese fa...
(basta vedere nell'acid test 3 safari 3.1 dov'è fermo, mentre WebKit lo supera....)

[Aesir]

WebLit al momento del concorso non era già più affetta dal problema...

I computer erano completamente patchati, se apple avesse già rilasciato un fix ufficiale il computer sarebbe stato sicuro, invece...

Comunque, un po'... ma chissenefrega?

windows è un sistema sicuro