Vulnerabilità: Ubuntu vs Vista e MacOS X

[WebWolf]

La notizia è di Marzo, ma è stata riportata solo a Giugno su una rivista del settore.

Questo è il link:

http://www.theregister.co.uk/2008/03...left_standing/

Per i non anglofoni l'abstract è il seguente:
Un gruppo d hacker canadesi ha messo in palio una discreta sommetta di denaro per chi fosse risucito a bucare i sistemi operativi del momento.
Alla fine l'ha spuntata solo Ubuntu.
MaCOS è caduto per una falla su Safari (il browser) e Vista per una falla sul flash player.

[killercode]

Quote:

Originariamente inviato da WebWolf

La notizia è di Marzo, ma è stata riportata solo a Giugno su una rivista del settore.

Questo è il link:

http://www.theregister.co.uk/2008/03...left_standing/

Per i non anglofoni l'abstract è il seguente:
Un gruppo d hacker canadesi ha messo in palio una discreta sommetta di denaro per chi fosse risucito a bucare i sistemi operativi del momento.
Alla fine l'ha spuntata solo Ubuntu.
MaCOS è caduto per una falla su Safari (il browser) e Vista per una falla sul flash player.

Si, l'avevo sentita la notizia, anche se c'è da dire che per fortuna nessuno dei tre ha ceduto con gli attacchi in remoto, solo quando hanno avuto l'accesso diretto al computer hanno capitolato

[VICIUS]

In effetti la news è un po' vecchiotta. Come ha già detto killercode il fatto che tutti e tre i sistemi abbiamo resistito tranquillamente agli attacchi da remoto fa capire quanto buono sia il livello di sicurezza raggiunto da vista e compagni.

[kernele]

Se la notizia è quella vecchia di cui si parlava tempo fa anche in sezione vista, si vocifera che linux non sia stato bucato per una questione di etica.

[killercode]

Quote:

Originariamente inviato da kernele

Se la notizia è quella vecchia di cui si parlava tempo fa anche in sezione vista, si vocifera che linux non sia stato bucato per una questione di etica.

"In amore e in guerra tutto è permesso" se i lamerozzi non attaccano per questioni di etica tutto di guadagnato per me, funziona meglio di qualunque firewall

[khelidan1980]

Quote:

Originariamente inviato da kernele

Se la notizia è quella vecchia di cui si parlava tempo fa anche in sezione vista, si vocifera che linux non sia stato bucato per una questione di etica.

etica?e comunque anche per vista non mi sembra un disonore esser caduti per colpa di quell'aborto di flash,sarebbe valso lo stesso discorso per linux

[Mory]

Quote:

Originariamente inviato da khelidan1980

etica?e comunque anche per vista non mi sembra un disonore esser caduti per colpa di quell'aborto di flash

sarà per quello che M$ ha deciso di farselo in casa?

[arara]

E vecchia questa notizia, comunque è stato detto dagli stessi partecipanti che Linux non è stato preso di mira, pur avendo trovato varie falle, perche non dava la stessa visibilita di bucare Windows.

In più il bug di Flash utilizzato per Vista è cross-platform quindi sarebbe stato efficace su tutti i sistemi operativi, quindi Ubuntu era vulnerabile quanto Vista.

Comunque se avessero fatto il contest qualche settimana prima, nei giorni in cui girava il root exploit su Linux, l'avrebbero bucato anche in meno di due minuti senza bisogno di Flash!

Linux ignored, not immune, says hacker contest sponsor

Quote:

E Linux? A quanto pare i 400 pretendenti pur avendo trovato parecchie falle in Ubuntu 7.10 non hanno tentato di sviluppare il codice per forzare il Sony Vaio, lasciando così il sistema inviolato. Tuttavia secondo Terri Forslof, manager della Tipping Point, il motivo di questo risultato non è stata una maggior sicurezza di Linux rispetto agli altri sistemi operativi, quanto piuttosto il disinteresse dei contendenti verso il sistema open source.

Sempre secondo Forslof gli altri sistemi sono stati “presi d’ assalto” perchè in fondo trovare bug per Windows Vista e Mac OSX paga (soprattutto in termini di pubblicità), mentre per Linux no.

Detto in termini piu espliciti da un'altro commentatore:

Quote:

Vi siete mai chiesti cosa facciano nella vita questi “hacker” che poi partecipano a questo tipo di concorso?
Pensate che uno faccia l’hacker perche’ ha tempo da perdere?
E’ gente che guadagna dei bei soldi ogni volta che trova un exploit utilizzabile. Esiste un mercato di questi exploit, si parte di solito da un minimo di $10,000 e si va a salire anche di parecchio.
Quale credete che sia l’interessa da parte dell’acquirente dell’exploit? Di venire a guardare cosa avete sul vostro PC di casa?
Qual e’ la piattaforma piu’ diffusa al mondo? Linux? No! E’ l’odiato Winzoz e gli hacker di professione si dedicano a Winzoz non certo a Linux, perche’ e’ quello che richiede il mercato.

[n3k-case]

si guarda poter "bucare" uno dei s.o. più usati come server non è economicamente vantaggioso ...

[arara]

Quote:

Originariamente inviato da n3k-case

si guarda poter "bucare" uno dei s.o. più usati come server non è economicamente vantaggioso ...

Si come no... Windows tiene il 95% dei desktop e almeno l'80% dei sistemi aziendali, inoltre anche nei web server sta aumentando sempre di piu:
La trimestrale l'aveva preannunciato: il comparto server del gruppo va a gonfie vele. Windows Server detiene oggi il 70% del mercato contro il 20% di Linux. Quest'ultimo sarebbe in crescita, ma non ai danni di Microsoft, quanto bensì alle spese di Unix
Linux e il mercato server

comunque l'obiettivo sono spyware, worm, spam, reti di botnet per attacchi DOS, mica serve attaccare direttamente i server...

[khelidan1980]

Quote:

Originariamente inviato da Mory

sarà per quello che M$ ha deciso di farselo in casa?

ma io spero vivamente anche per linux,che silverlight prenda piede,anche se sostituire flash sarà difficile

[kernele]

Quote:

Originariamente inviato da khelidan1980

etica?e comunque anche per vista non mi sembra un disonore esser caduti per colpa di quell'aborto di flash

Dovrebbe essere intollerabile che un aborto metta in giocchio uno o più sistemi operativi, a maggior ragione quando di questo aborto quasi non se ne puo fare a meno.

Quote:

Originariamente inviato da killercode

anche se c'è da dire che per fortuna nessuno dei tre ha ceduto con gli attacchi in remoto, solo quando hanno avuto l'accesso diretto al computer hanno capitolato

Questo tira un pò su il morale.

[sirus]

Il bug utilizzato per Vista che coinvolgeva Java e Flash è effettivamente cross-platform e non è stato utilizzato su Ubuntu semplicemente perché il regolamento del contest vietava di utilizzare una falla cross-platform su più di un sistema operativo.
Vista è stato il bersaglio selezionato perché l'hacker che ha scovato la falla programma in ambiente Windows ed ha dichiarato di essere un po' arrugginito in ambiente UNIX. Dato che il tempo rimasto era poco si è concentrato su Vista.

Da notare che è stato necessario utilizzare anche Java per sfruttare la falla di Flash. Java è servito per superare il DEP (tecnologia software che usa NX-bit) che non viene abilitato (per questione di compatibilità) per i programmi Java.



Direi che ormai a livello di sicurezza tutti i sistemi operativi sono a buon punto, non ci si può certo lamentare.

[khelidan1980]

Quote:

Originariamente inviato da kernele

Dovrebbe essere intollerabile che un aborto metta in giocchio uno o più sistemi operativi, a maggior ragione quando di questo aborto quasi non se ne puo fare a meno.

infatti per quello spero in silverlight,almeno il plugin lo scriviamo noi(leggi mono e moonlight)

[zephyr83]

ma nn è la stessa news? http://www.hwupgrade.it/news/apple/d...s-x_24793.html se ne è parlato anche qui e le cose sn andate un po' diversamente!

Quote:

La durata del concorso è stata fissata in tre giorni, nel corso di oguno dei quali viene progressivamente abbassato il livello di difficoltà.

Nel corso della prima giornata, nella quale è impedito l'accesso fisico alla macchina ma è possibile sfruttare solamente attacchi da remoto, tutti e tre i sistemi sono rimasti inviolati. A partire dal secondo giorno, invece, è stata resa possibile l'interazione diretta tra i sistemi e i concorrenti ed è stato in questo frangente che uno dei concorrenti, Charlie Miller, è stato in grado di violare Mac OS X in appena due minuti.

Miller ha sfruttato una falla presente in Safari, che non è stata resa pubblica e sarà svelata solamente ad Apple, visitando un sito web opportunamente preparato con la presenza di codice malevolo che ha così permesso l'esecuzione di codice da remoto consentendo a Miller di prendere il controllo della macchina. Il concorrente si è così aggiudicato il premio di 10 mila dollari e il MacBook Air violato.

Il terzo giorno è stato violato anche Vista a causa della falla di flash. Direi che alla fine quello che ne esce peggio è osx senza dubbio!

[nico159]

Quote:

Originariamente inviato da WebWolf

La notizia è di Marzo, ma è stata riportata solo a Giugno su una rivista del settore.

Questo è il link:

http://www.theregister.co.uk/2008/03...left_standing/

Per i non anglofoni l'abstract è il seguente:
Un gruppo d hacker canadesi ha messo in palio una discreta sommetta di denaro per chi fosse risucito a bucare i sistemi operativi del momento.
Alla fine l'ha spuntata solo Ubuntu.
MaCOS è caduto per una falla su Safari (il browser) e Vista per una falla sul flash player.

Che senso hanno queste cose?

[LilithSChild]

Quote:

Originariamente inviato da nico159

Che senso hanno queste cose?

vedere quali sono i punti deboli dei S.O. e metterci una pezza ?

[nico159]

Quote:

Originariamente inviato da LilithSChild

vedere quali sono i punti deboli dei S.O. e metterci una pezza ?

Quote:

“I don't really care for 'hack the box' contests. If a machine doesn't get hacked, it does not mean it isn't breakable. If it does get hacked, it just shows us what we already know - any machine can be broken under the right circumstances. So, don't read too much into the PWN 2 OWN results. I don't.”

Il dirigente del reparto di sicurezza Microsoft con la quale mi trovo perfettamente d'accordo

[W.S.]

Quote:

Originariamente inviato da nico159

Il dirigente del reparto di sicurezza Microsoft con la quale mi trovo perfettamente d'accordo

Si ok, se non la buco non significa che sia sicura, ovvio ma se la buco vogliamo mettercela una pezza o aspettiamo i soliti mesi?

Certo che non può essere un contest di pochi giorni a scoprire i reali problemi di un sistema, può però essere estremamente utile per portarli alla luce e obbligare chi di dovere a correre ai ripari.

[sirus]

Quote:

Originariamente inviato da W.S.

Si ok, se non la buco non significa che sia sicura, ovvio ma se la buco vogliamo mettercela una pezza o aspettiamo i soliti mesi?

Certo che non può essere un contest di pochi giorni a scoprire i reali problemi di un sistema, può però essere estremamente utile per portarli alla luce e obbligare chi di dovere a correre ai ripari.

Appunto. Dopo il PWN2OWN quelli che sono dovuti correre ai ripari sono stati: Apple, Adobe e Sun.