La notizia è di Marzo, ma è stata riportata solo a Giugno su una rivista del settore.

Questo è il link:

http://www.theregister.co.uk/2008/03/29/ubuntu_left_standing/

Per i non anglofoni l'abstract è il seguente:
Un gruppo d hacker canadesi ha messo in palio una discreta sommetta di denaro per chi fosse risucito a bucare i sistemi operativi del momento.
Alla fine l'ha spuntata solo Ubuntu.
MaCOS è caduto per una falla su Safari (il browser) e Vista per una falla sul flash player.

La notizia è di Marzo, ma è stata riportata solo a Giugno su una rivista del settore.

Questo è il link:

http://www.theregister.co.uk/2008/03/29/ubuntu_left_standing/

Per i non anglofoni l'abstract è il seguente:
Un gruppo d hacker canadesi ha messo in palio una discreta sommetta di denaro per chi fosse risucito a bucare i sistemi operativi del momento.
Alla fine l'ha spuntata solo Ubuntu.
MaCOS è caduto per una falla su Safari (il browser) e Vista per una falla sul flash player.
Si, l'avevo sentita la notizia, anche se c'è da dire che per fortuna nessuno dei tre ha ceduto con gli attacchi in remoto, solo quando hanno avuto l'accesso diretto al computer hanno capitolato

In effetti la news è un po' vecchiotta. Come ha già detto killercode il fatto che tutti e tre i sistemi abbiamo resistito tranquillamente agli attacchi da remoto fa capire quanto buono sia il livello di sicurezza raggiunto da vista e compagni.

Se la notizia è quella vecchia di cui si parlava tempo fa anche in sezione vista, si vocifera che linux non sia stato bucato per una questione di etica.

Se la notizia è quella vecchia di cui si parlava tempo fa anche in sezione vista, si vocifera che linux non sia stato bucato per una questione di etica.
"In amore e in guerra tutto è permesso" se i lamerozzi non attaccano per questioni di etica tutto di guadagnato per me, funziona meglio di qualunque firewall

Se la notizia è quella vecchia di cui si parlava tempo fa anche in sezione vista, si vocifera che linux non sia stato bucato per una questione di etica.

etica?e comunque anche per vista non mi sembra un disonore esser caduti per colpa di quell'aborto di flash,sarebbe valso lo stesso discorso per linux

etica?e comunque anche per vista non mi sembra un disonore esser caduti per colpa di quell'aborto di flash

sarà per quello che M$ ha deciso di farselo in casa? :ciapet:

E vecchia questa notizia, comunque è stato detto dagli stessi partecipanti che Linux non è stato preso di mira, pur avendo trovato varie falle, perche non dava la stessa visibilita di bucare Windows.

In più il bug di Flash utilizzato per Vista è cross-platform quindi sarebbe stato efficace su tutti i sistemi operativi, quindi Ubuntu era vulnerabile quanto Vista.

Comunque se avessero fatto il contest qualche settimana prima, nei giorni in cui girava il root exploit su Linux (http://www.hwupgrade.it/forum/showthread.php?t=1675778), l'avrebbero bucato anche in meno di due minuti senza bisogno di Flash! :)

Linux ignored, not immune, says hacker contest sponsor (http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9074102&taxonomyId=17&intsrc=kc_top)

E Linux? A quanto pare i 400 pretendenti pur avendo trovato parecchie falle in Ubuntu 7.10 non hanno tentato di sviluppare il codice per forzare il Sony Vaio, lasciando così il sistema inviolato. Tuttavia secondo Terri Forslof, manager della Tipping Point, il motivo di questo risultato non è stata una maggior sicurezza di Linux rispetto agli altri sistemi operativi, quanto piuttosto il disinteresse dei contendenti verso il sistema open source.

Sempre secondo Forslof gli altri sistemi sono stati “presi d’ assalto” perchè in fondo trovare bug per Windows Vista e Mac OSX paga (soprattutto in termini di pubblicità), mentre per Linux no.

Detto in termini piu espliciti da un'altro commentatore:
Vi siete mai chiesti cosa facciano nella vita questi “hacker” che poi partecipano a questo tipo di concorso?
Pensate che uno faccia l’hacker perche’ ha tempo da perdere?
E’ gente che guadagna dei bei soldi ogni volta che trova un exploit utilizzabile. Esiste un mercato di questi exploit, si parte di solito da un minimo di $10,000 e si va a salire anche di parecchio.
Quale credete che sia l’interessa da parte dell’acquirente dell’exploit? Di venire a guardare cosa avete sul vostro PC di casa?
Qual e’ la piattaforma piu’ diffusa al mondo? Linux? No! E’ l’odiato Winzoz e gli hacker di professione si dedicano a Winzoz non certo a Linux, perche’ e’ quello che richiede il mercato.

si guarda poter "bucare" uno dei s.o. più usati come server non è economicamente vantaggioso ...

si guarda poter "bucare" uno dei s.o. più usati come server non è economicamente vantaggioso ...
Si come no... Windows tiene il 95% dei desktop e almeno l'80% dei sistemi aziendali, inoltre anche nei web server sta aumentando sempre di piu:
La trimestrale l'aveva preannunciato: il comparto server del gruppo va a gonfie vele. Windows Server detiene oggi il 70% del mercato contro il 20% di Linux. Quest'ultimo sarebbe in crescita, ma non ai danni di Microsoft, quanto bensì alle spese di Unix
Linux e il mercato server (http://www.hwupgrade.it/forum/showthread.php?t=1587618)

comunque l'obiettivo sono spyware, worm, spam, reti di botnet per attacchi DOS, mica serve attaccare direttamente i server...:rolleyes:

sarà per quello che M$ ha deciso di farselo in casa? :ciapet:

ma io spero vivamente anche per linux,che silverlight prenda piede,anche se sostituire flash sarà difficile

etica?e comunque anche per vista non mi sembra un disonore esser caduti per colpa di quell'aborto di flash
Dovrebbe essere intollerabile che un aborto metta in giocchio uno o più sistemi operativi, a maggior ragione quando di questo aborto quasi non se ne puo fare a meno.

anche se c'è da dire che per fortuna nessuno dei tre ha ceduto con gli attacchi in remoto, solo quando hanno avuto l'accesso diretto al computer hanno capitolato
Questo tira un pò su il morale.

Il bug utilizzato per Vista che coinvolgeva Java e Flash è effettivamente cross-platform e non è stato utilizzato su Ubuntu semplicemente perché il regolamento del contest vietava di utilizzare una falla cross-platform su più di un sistema operativo.
Vista è stato il bersaglio selezionato perché l'hacker che ha scovato la falla programma in ambiente Windows ed ha dichiarato di essere un po' arrugginito in ambiente UNIX. Dato che il tempo rimasto era poco si è concentrato su Vista.

Da notare che è stato necessario utilizzare anche Java per sfruttare la falla di Flash. Java è servito per superare il DEP (tecnologia software che usa NX-bit) che non viene abilitato (per questione di compatibilità) per i programmi Java.

;)

Direi che ormai a livello di sicurezza tutti i sistemi operativi sono a buon punto, non ci si può certo lamentare. :p

Dovrebbe essere intollerabile che un aborto metta in giocchio uno o più sistemi operativi, a maggior ragione quando di questo aborto quasi non se ne puo fare a meno.


infatti per quello spero in silverlight,almeno il plugin lo scriviamo noi(leggi mono e moonlight)

ma nn è la stessa news? http://www.hwupgrade.it/news/apple/due-minuti-per-violare-mac-os-x_24793.html se ne è parlato anche qui e le cose sn andate un po' diversamente!
La durata del concorso è stata fissata in tre giorni, nel corso di oguno dei quali viene progressivamente abbassato il livello di difficoltà.

Nel corso della prima giornata, nella quale è impedito l'accesso fisico alla macchina ma è possibile sfruttare solamente attacchi da remoto, tutti e tre i sistemi sono rimasti inviolati. A partire dal secondo giorno, invece, è stata resa possibile l'interazione diretta tra i sistemi e i concorrenti ed è stato in questo frangente che uno dei concorrenti, Charlie Miller, è stato in grado di violare Mac OS X in appena due minuti.

Miller ha sfruttato una falla presente in Safari, che non è stata resa pubblica e sarà svelata solamente ad Apple, visitando un sito web opportunamente preparato con la presenza di codice malevolo che ha così permesso l'esecuzione di codice da remoto consentendo a Miller di prendere il controllo della macchina. Il concorrente si è così aggiudicato il premio di 10 mila dollari e il MacBook Air violato.
Il terzo giorno è stato violato anche Vista a causa della falla di flash. Direi che alla fine quello che ne esce peggio è osx senza dubbio!

La notizia è di Marzo, ma è stata riportata solo a Giugno su una rivista del settore.

Questo è il link:

http://www.theregister.co.uk/2008/03/29/ubuntu_left_standing/

Per i non anglofoni l'abstract è il seguente:
Un gruppo d hacker canadesi ha messo in palio una discreta sommetta di denaro per chi fosse risucito a bucare i sistemi operativi del momento.
Alla fine l'ha spuntata solo Ubuntu.
MaCOS è caduto per una falla su Safari (il browser) e Vista per una falla sul flash player.

Che senso hanno queste cose? :mbe:

Che senso hanno queste cose? :mbe:

vedere quali sono i punti deboli dei S.O. e metterci una pezza ? :fagiano:

vedere quali sono i punti deboli dei S.O. e metterci una pezza ? :fagiano:
“I don't really care for 'hack the box' contests. If a machine doesn't get hacked, it does not mean it isn't breakable. If it does get hacked, it just shows us what we already know - any machine can be broken under the right circumstances. So, don't read too much into the PWN 2 OWN results. I don't.”
Il dirigente del reparto di sicurezza Microsoft con la quale mi trovo perfettamente d'accordo

Il dirigente del reparto di sicurezza Microsoft con la quale mi trovo perfettamente d'accordo

Si ok, se non la buco non significa che sia sicura, ovvio ma se la buco vogliamo mettercela una pezza o aspettiamo i soliti mesi?

Certo che non può essere un contest di pochi giorni a scoprire i reali problemi di un sistema, può però essere estremamente utile per portarli alla luce e obbligare chi di dovere a correre ai ripari.

Si ok, se non la buco non significa che sia sicura, ovvio ma se la buco vogliamo mettercela una pezza o aspettiamo i soliti mesi?

Certo che non può essere un contest di pochi giorni a scoprire i reali problemi di un sistema, può però essere estremamente utile per portarli alla luce e obbligare chi di dovere a correre ai ripari.
Appunto. Dopo il PWN2OWN quelli che sono dovuti correre ai ripari sono stati: Apple, Adobe e Sun. :asd:

Appunto. Dopo il PWN2OWN quelli che sono dovuti correre ai ripari sono stati: Apple, Adobe e Sun. :asd:
Beh, a qualcuno è servito, la prossima volta potrebbe toccare a windows e sarà Microsoft a correggere, quindi non sono del tutto inutili queste gare

Non sono convinto che siano effettivamente utili.
Se prendiamo in considerazione la falla utilizzata per bucare Mac OS X attraverso Safari, non è pensabile che sia stata scoperta durante la "gara". Dall'inizio della gara all'utilizzo della falla sono passati pochissimi minuti, questo significa che l'hacker era già a conoscenza della falla e di come farne uso, non l'ha segnalata ad Apple perché sapeva che ci sarebbe stata una "gara" di li a poco.
Tutto questo può portare a degli atteggiamenti poco responsabili.

Non sono convinto che siano effettivamente utili.
Se prendiamo in considerazione la falla utilizzata per bucare Mac OS X attraverso Safari, non è pensabile che sia stata scoperta durante la "gara". Dall'inizio della gara all'utilizzo della falla sono passati pochissimi minuti, questo significa che l'hacker era già a conoscenza della falla e di come farne uso, non l'ha segnalata ad Apple perché sapeva che ci sarebbe stata una "gara" di li a poco.
Tutto questo può portare a degli atteggiamenti poco responsabili.

ma l'hacker ha detto che alla falla di safari ci hanno lavorato per 2 settimane infatti, li l'hanno semplicemente messa in atto :)

Non sono convinto che siano effettivamente utili.
Se prendiamo in considerazione la falla utilizzata per bucare Mac OS X attraverso Safari, non è pensabile che sia stata scoperta durante la "gara". Dall'inizio della gara all'utilizzo della falla sono passati pochissimi minuti, questo significa che l'hacker era già a conoscenza della falla e di come farne uso, non l'ha segnalata ad Apple perché sapeva che ci sarebbe stata una "gara" di li a poco.
Tutto questo può portare a degli atteggiamenti poco responsabili.
infatti la falla l'hacker già la conosceva e nn l'ha spifferata a nessuno....si è aspettato prima che che apple la sistemasse! Su Vista invece nn si è trovato niente di simile!! Alla fine un sistema operativo (o un programma) è più sicuro se si trovano meno falle :) La cosa positiva è che il primo giorno, da remoto, nessuno dei sistemi operativi è stato bucato è questa la cosa importante!!! Osx è caduto per una falla di un proprio programma e nn c'è niente da stupirsi, chissà quanti altri programmi (nn solo dia pple) avranno buchi del genere ma nessuno se n'è ancora accorto!!
La vera critica che si può fare a microsoft è che spesso ci mette troppo a risolvere i problemi di sicurezza

ma l'hacker ha detto che alla falla di safari ci hanno lavorato per 2 settimane infatti, li l'hanno semplicemente messa in atto :)
Pensa se durante il periodo intercorso tra la scoperta della falla ed il contest un malintenzionato avesso trovato la stessa falla, questo malintenzionato avrebbe potuto utilizzarla.
Io sono dell'idea che quando si trova una falla quella vada subito segnalata a chi di dovere, non attendere fino al primo contest (mettendo a rischio il sistema di qualcun altro).

Pensa se durante il periodo intercorso tra la scoperta della falla ed il contest un malintenzionato avesso trovato la stessa falla, questo malintenzionato avrebbe potuto utilizzarla.
Io sono dell'idea che quando si trova una falla quella vada subito segnalata a chi di dovere, non attendere fino al primo contest (mettendo a rischio il sistema di qualcun altro).

ma anche no,osx lo paghi e le falle devono scoprirsele da soli,e io non sono di certo responsabile di falle che avrebbero dovute esser corrette da ingegneri strapagati! :asd:

ma anche no,osx lo paghi e le falle devono scoprirsele da soli,e io non sono di certo responsabile di falle che avrebbero dovute esser corrette da ingegneri strapagati! :asd:
Scusa, ma questa mi sembra un'idea folle. :O
Io uso Mac OS X: scopro una falla, la segnalo, Apple la corregge e tutti siamo più contenti. La soluzione alternativa è: io sono un idiota che preferisce avere un sistema insicuro piuttosto che segnalare una falla che gli strapagati (sicuro?!) Ingegneri Apple non hanno trovato.

Scusa, ma questa mi sembra un'idea folle. :O
Io uso Mac OS X: scopro una falla, la segnalo, Apple la corregge e tutti siamo più contenti. La soluzione alternativa è: io sono un idiota che preferisce avere un sistema insicuro piuttosto che segnalare una falla che gli strapagati (sicuro?!) Ingegneri Apple non hanno trovato.

Però una falla così potevano beccarla, considerando che safari è il loro browser predefinito, potevano starci più attenti.

Andando leggermente OT, volevo chiedere se safari aveva ancora problemi con SSL (sempre se ne avesse avuti eh!). Sapevo questa cosa, ma era più una voce che mi era arrivata.

Però una falla così potevano beccarla, considerando che safari è il loro browser predefinito, potevano starci più attenti.
Immagino che Firefox sia il browser predefinito di tutti quelli che lo sviluppano, eppure molte falle non le scoprono loro.
Si dice che il peggior modo per trovare falle (bug più in generale) in un programma sia quello di far fare ricerca agli sviluppatori stessi... ;) io sono di questo avviso.

Andando leggermente OT, volevo chiedere se safari aveva ancora problemi con SSL (sempre se ne avesse avuti eh!). Sapevo questa cosa, ma era più una voce che mi era arrivata.
Mi sembra che ci fosse un supporto limitato (o assente) ad alcuni certificati, non sono sicuro che il problema riguardasse in modo stretto il protocollo SSL.

Immagino che Firefox sia il browser predefinito di tutti quelli che lo sviluppano, eppure molte falle non le scoprono loro.
Si dice che il peggior modo per trovare falle (bug più in generale) in un programma sia quello di far fare ricerca agli sviluppatori stessi... io sono di questo avviso.

E' vero.

Un argomento del genere mi capita a fagiolo: sto studiando ingegneria del sw (domani esame :stordita: ) e tra le altre cose si parla di test e fasi di testing e una fase di test mi ha colpito, il walk-through:in pratica si fa provare il codice, ragionandolo senza eseguirlo, a 5-6 persone estraneo al team di sviluppo, in modo da scovare gli errori. Almeno è quello che ho capito.

E' vero.

Un argomento del genere mi capita a fagiolo: sto studiando ingegneria del sw (domani esame :stordita: ) e tra le altre cose si parla di test e fasi di testing e una fase di test mi ha colpito, il walk-through:in pratica si fa provare il codice, ragionandolo senza eseguirlo, a 5-6 persone estraneo al team di sviluppo, in modo da scovare gli errori. Almeno è quello che ho capito.
:asd: anche io lo scorso anno ho fatto Ing. del Software. :p

Io sono dell'idea che quando si trova una falla quella vada subito segnalata a chi di dovere, non attendere fino al primo contest (mettendo a rischio il sistema di qualcun altro).


sono stati fortunati che non si sono venduti fa falla, hanno dimostrato molto senso civico, altro che!

Scusa, ma questa mi sembra un'idea folle. :O
Io uso Mac OS X: scopro una falla, la segnalo, Apple la corregge e tutti siamo più contenti. La soluzione alternativa è: io sono un idiota che preferisce avere un sistema insicuro piuttosto che segnalare una falla che gli strapagati (sicuro?!) Ingegneri Apple non hanno trovato.

MI sembra più folle la tua idea :D
io la vedo diversamente, io ho pagato il software, ho scoperto che ha questa falla, bene te la dico e tu mi paghi, rimborso, aggiornamento gratuito, quello che vuoi ma voglio qualcosa di monetario, altrimenti con il tuo lavoro loro ci guadagnano ( una falla in meno è sempre una falla in meno e tempo risparmiato a loro).
Invece per software opensource il ragionamento non fa na piega, trovo na falla, te la segnalo e tu la correggi. Questo è eticamente corretto.
Non sei mica uno sviluppatore pagato, quindi o ti pagano o se la trovano loro;)

MI sembra più folle la tua idea :D
io la vedo diversamente, io ho pagato il software, ho scoperto che ha questa falla, bene te la dico e tu mi paghi, rimborso, aggiornamento gratuito, quello che vuoi ma voglio qualcosa di monetario, altrimenti con il tuo lavoro loro ci guadagnano ( una falla in meno è sempre una falla in meno e tempo risparmiato a loro).
Invece per software opensource il ragionamento non fa na piega, trovo na falla, te la segnalo e tu la correggi. Questo è eticamente corretto.
Non sei mica uno sviluppatore pagato, quindi o ti pagano o se la trovano loro;)
se io ho un'automobile di marca X, vado all'officina autorizzata X e spiego il problema (caso isolato di malfunzionamento) e cercano di risolvermelo.
se arrivano un certo numero di lamentele per lo stesso difetto alle officine X, il problema viene segnalato alla casa madre (bug), che provvede a fare un richiamo totalmente gratuito per le autovetture (aggiornamento di sicurezza). un problema non segnalato alla casa madre e' un potenziale problema per tutti i possessori di quel modello difettato.

credo che l'auto sia stata pagata, anche profumatamente...

se io ho un'automobile di marca X, vado all'officina autorizzata X e spiego il problema (caso isolato di malfunzionamento) e cercano di risolvermelo.
se arrivano un certo numero di lamentele per lo stesso difetto alle officine X, il problema viene segnalato alla casa madre (bug), che provvede a fare un richiamo totalmente gratuito per le autovetture (aggiornamento di sicurezza). un problema non segnalato alla casa madre e' un potenziale problema per tutti i possessori di quel modello difettato.

credo che l'auto sia stata pagata, anche profumatamente...

Se gli ingegneri della casa X mi mettessero a disposizione i progetti del motore da, almeno, visionare, credo che si risolverebbe ancora più in fretta.

;)

Se gli ingegneri della casa X mi mettessero a disposizione i progetti del motore da, almeno, visionare, credo che si risolverebbe ancora più in fretta.

;)
indubbiamente, ma non per questo non vengono segnalate anomalie particolari alla casa madre...