Pwn2Own 2009

[sampei.nihira]

]Amici utenti di questa sezione vi linko la notizia.
Charlie Miller buca Safari su MAC OSX.
E' il primo browser ad essere violato alla manifestazione:

http://dvlabs.tippingpoint.com/blog/...o-day-exploits
http://www.engadget.com/2009/03/19/t...loited-on-day/

Naturalmente voi approfondirete la notizia,mio scopo è solo l'informazione.
Spero di fare cosa gradita.
Saluti.

[Prome]

10 secondi per bucare Safari. Esattamente vero.

Peccato che, come Miller abbia dichiarato, ha passato i mesi precedenti a studiare il tutto.

Oltretutto anche IE8 ha ceduto in pochi secondi.

[xgear91]

Quote:

Originariamente inviato da sampei.nihira

Amici utenti di questa sezione vi linko la notizia.
Charlie Miller buca Safari su MAC OSX.
E' il primo browser ad essere violato alla manifestazione:

http://dvlabs.tippingpoint.com/blog/...o-day-exploits

Naturalmente voi approfondirete la notizia,mio scopo è solo l'informazione.
Spero di fare cosa gradita.
Saluti.

Grazie. E adesso? Immagino che avrai fatto lo stesso post nella sezione windows parlando di IE8, vero?


No ho controllato, non l'hai fatto. Strano eh?

[Elbryan]

Dai bambini, l'asilo è più in là..

[Mailor]

Quote:

Originariamente inviato da Elbryan

Dai bambini, l'asilo è più in là..

I you

[patanfrana]

A me la cosa che ha lasciato basito è che abbiano attaccato Safari, IE e Firefox, ma nulla sulla piattaforma Linux, nonostante sapessero come fare..

Oggi mi pare si passerà alle versioni mobile.. vediamo come andrà..

[DarkTiamat]

Quote:

Originariamente inviato da patanfrana

A me la cosa che ha lasciato basito è che abbiano attaccato Safari, IE e Firefox, ma nulla sulla piattaforma Linux, nonostante sapessero come fare..

Oggi mi pare si passerà alle versioni mobile.. vediamo come andrà..

magari x lo stesso motivo x cui l'anno scorzo non hanno bucato linux x rispetto dell'open surce

cmq bel gruzzoletto si è fatto Nils, 15k dollai e un vaio, mica male

[patanfrana]

Rispetto sarebbe lasciarlo credere inviolabile? A me sembra un cattivo servizio: dimostrate che anche Linux è violabile e poi comunicate/risolvete il problema..

[John22]

La verità è che Linux non lo voleva nessuno... Cioè, se l'avessero voluto l'avrebbero scaricato comodamente a casa senza sbattimenti

Il ragionamento subisce un crollo pensando alla ricompensa monetaria e al note... Bah...

[sampei.nihira]

Quote:

Originariamente inviato da xgear91

Grazie. E adesso? Immagino che avrai fatto lo stesso post nella sezione windows parlando di IE8, vero?


No ho controllato, non l'hai fatto. Strano eh?

Ho solo fatto informazione.

I.E.8 l'ho installato solo oggi e lo userò al massimo 1 volta al mese (come le versioni precedenti) quando farò gli update Microsoft.
Solitamente uso Opera e questo anche sotto Linux.
Ma non disdegno l'uso di FF.

Solitamente frequento la sezione "Antivirus e Sicurezza" lì invece potrai trovare, questa info, in più 3D.
E' anche in questo modo che possiamo prevenire eventuali problemi di sicurezza.

Tu naturalmente non ne hai bisogno.....le mie scuse per il disturbo.

[BK-201]

Scusate ma che senso ha una gara di hacking in cui si può studiare il software da bucare prima della gara? Si fa una corsa a chi è più veloce a scrivere sulla tastiera?

[patanfrana]

Ma d'altronde, come fai a proibire ai concorrenti di prepararsi durante l'anno?

[MacNeo]

La gara non è sul primo che ce la fa. Vincono tutti quelli che riescono a crackare il browser. Tant'è che Safari l'hanno bucato in 2 persone diverse con 2 crack diversi, e hanno vinto entrambi i 5mila$.
Che ci metti 10 secondi o 2 ore è ininfluente… metterci meno tempo fa solo "più figo"
E infatti quello che ci ha messo 8 secondi non ha praticamente fatto niente: si era già preparato nei mesi precedenti il suo bel sito ad-hoc, e l'unica cosa che ha dovuto fare è stato scrivere l'indirizzo e cliccare un link per attivare il codice "maligno".

[Kratos]

Ma di preciso cosa devono riuscire a fare per considerare "bucato" il sistema? E cosa - teoricamente - potrebbero fare con un exploit del genere?

[Mailor]

Quote:

Originariamente inviato da Kratos

Ma di preciso cosa devono riuscire a fare per considerare "bucato" il sistema? E cosa - teoricamente - potrebbero fare con un exploit del genere?

bucare un sistema può significare tante cose. nell'accezione più comune, è ottenere una shell di root, o particolari privilegi su qualcosa.

a norma via browser sia ottiene un buffer overflow, che permette di eseguire dello shellcode "via browser", sovrascrivendo lo stack allocato al browser stesso dal s.o.

le possibilità sono circa infinite, dipende dalla realizzazione e da come l'allocazione per quella istanza del sw sia gestita.

[_goofy_]

Da regolamento

non erano ammessi s.o. Linux e Opera

[21-5-73]

Quote:

Originariamente inviato da _goofy_

Da regolamento

non erano ammessi s.o. Linux e Opera

Come mai? C'è un motivo ufficiale?

[sirus]

Quote:

Originariamente inviato da 21-5-73

Come mai? C'è un motivo ufficiale?

Non costituiscono piattaforme rilevanti nell'ambito desktop.

[_goofy_]

Quote:

Originariamente inviato da sirus

Non costituiscono piattaforme rilevanti nell'ambito desktop.

ha fatto la battuta....

l'anno scorso Linux c'era ed è stato l'unico sistema operativo a non essere bucato .... anche se poi hanno messo in giro la voce che non hanno voluto hackerarlo

quest'anno invece hanno tagliato la testa al toro

[sirus]

Quote:

Originariamente inviato da _goofy_

ha fatto la battuta....

l'anno scorso Linux c'era ed è stato l'unico sistema operativo a non essere bucato .... anche se poi hanno messo in giro la voce che non hanno voluto hackerarlo

quest'anno invece hanno tagliato la testa al toro

La mia non era affatto una battua.

Lo scorso anno Ubuntu era tra i sistemi operativi presi in considerazione e sarebbe caduta se il regolamento del contest avesse permesso di utilizzare le falle cross-platform (quella utilizzata per bucare Windows Vista ed Internet Explorer 7 lo era) per più di un sistema operativo.
Inoltre, si dice che Ubuntu non sia stata attaccata di proposito lo scorso anno quindi in un modo o nell'altro sarebbe potuta cadere.

Ribadisco, secondo me Ubuntu (o qualsiasi altra distribuzione di Linux) non è stata presa in considerazione per il contest perché non riveste un ruolo importante nel panorama dei desktop.