Si intrufolano in Mac OS X e vincono 10.000 dollari

[Cimmo]

Quote:

Originariamente inviato da patanfrana

Mmm.. veramente Safari è l'unico programma afflitto da questa falla.. qualunque altro programma che vada online non ne risente..

@ Cimmo
Non l'hanno installato tramite browser, ma direttamente sul mac, in che equivale a dire che ci vuole il consenso..

no non hai capito, hanno visitato semplicemente una pagina web contenente lo script, non hanno dovuto dire di si' ad alcuna finestra di consenso.
E comunque lo script NON si e' installato, qualcuno lo ha gia' detto, e' stato soltanto eseguito dopo di che avendo l'accesso hanno installato la backdoor.

[Automator]

mah... io credo che non chieda il consenso (e quindi la psw di amministratore) se no che ceppa di falla è????? come quella del presunto virus che chiedeva la psw di amministrtore??? ah si....

[YYD]

Perchè non si vuol leggere quello che non piace leggere?

"No attackers managed to do so, and so conference organizers allowed participants to try to get in through the browser by sending URLs via e-mail."

Bene, è stato consentito di ricevere una URL per email. Una URL può anche essere un comunissimo LINK, come quelli su cui "si fa click" di norma.

"The URL opened a blank page but exposed a vulnerability in input handling in Safari,"

Bene, l'indirizzo cui rimanda la URL punta ad una pagina web preparata per far scattare l'exploit.

Il sistema è stato violato, senza chiedere consensi, stando alla notizia così com'è riportata. Basta un click.

[k0nt3]

Quote:

Originariamente inviato da patanfrana

Non l'hanno installato tramite browser, ma direttamente sul mac, in che equivale a dire che ci vuole il consenso..

un bug è un bug.. non ha bisogno di consensi

[Enrox]

patanfrana, non e' che sei un fanboy svindows sotto mentite spoglie che scrive certe sciocchezze solo per mettere in ridicolo i fanboy Apple?

che ti piaccia o no quello trovato e' un buco di sicurezza di massima severita', che poi al lato pratico non ci sia da preoccuparsi perche' non e' stato pubblicato il metodo e perche' Apple fornira' una fix e' un altro paio di maniche.

lo zelotismo non e' cosa di cui andar fieri.

[cerbert]

Quote:

Originariamente inviato da Enrox

patanfrana, non e' che sei un fanboy svindows sotto mentite spoglie che scrive certe sciocchezze solo per mettere in ridicolo i fanboy Apple?

che ti piaccia o no quello trovato e' un buco di sicurezza di massima severita', che poi al lato pratico non ci sia da preoccuparsi perche' non e' stato pubblicato il metodo e perche' Apple fornira' una fix e' un altro paio di maniche.

lo zelotismo non e' cosa di cui andar fieri.

Lo zelotismo non è cosa di cui andar fieri, ma queste osservazioni lasciatele ai moderatori.
E', per il momento, solo un invito. Come invito ad evitare la solita SO-war di cui, diciamocielo, il 90%(*) degli utenti ed il 100% dei moderatori hanno le tasche piene.


(*)

Spoiler:

nota: la percentuale è costante, gli utenti variano a seconda di se sia il "loro" sistema operativo o quello "altrui" ad essere sotto attacco... si richiede un po' di coerenza e rispetto delle scelte altrui, grazie.

[Labico]

La falla via Web è da ritenersi + che pericolosa, 3 anni fa scoprimmo una cosa analoga puntando direttamente i server exchange del gruppo Fiat/Iveco (per cui ho lavorato) sfruttando la porta del servizio Trend TVCS Agent installato su ogni macchina, che ti permettava tramite il giochino del ".../" di tornare indietro alla root del server stesso "c:\" e inserire qualsiasi tipo di file eseguibile per poi lanciarlo e fare quanto più danno possibile.

La cosa bella (per modo di dire) è che il server non loggava alcuna azione fatta tramite questo buco.

Usammo il codice di CodeRed per scriptare azioni e il tutto non fu minimamente tracciato, nonostante tutti i sistemi fossero stati messi sotto hardening dai sottoscritti prima del test.

Ovviamente Trend si adeguò a correggere il tutto, o avrebbe perso il posto a vantaggio di altre società antivirus.

[patanfrana]

Chiedo venia, dalle news lette altrove pareva che lo script fosse stato installato precedentemente sulla macchina bersaglio: ora leggendo altre fonti ho capito che era presente in una pagina bianca.
Almeno però non sono arrivati al livello Root ma di simple user.

Che dire, meno male che non uso safari, ma Firefox o Shiira..

[marciufello]

Mi sorge un dubbio: la falla riguarda solo Safari? Se un utente usasse Firefox con NoSCript non dovrebbe aver problemi o sembra a me?

[Enrox]

Quote:

Originariamente inviato da cerbert

Lo zelotismo non è cosa di cui andar fieri, ma queste osservazioni lasciatele ai moderatori.

volevo solo togliere un po' di lavoro ai moderatori

x marciufello: per quello che si sa al momento, la cosa riguarda solo Safari e non FF.

[carpa69]

secondo me il punto non è se questa falla è grave o no...
il punto è che alla fine di falla ne hanno trovata solo una per poter entrare.... e non è poco....
non è per fare del flame, ma obbiettivamente, se la microsoft avesse fatto lo stesso concorso... non so se il risultato sarebbe stato cosi ottimo...

[Cidibi]

Mac OS secondo me è un os del c...
Apple vende macchine per utenti incapaci e SNOB. Si appoggia ad un kernel unix (quindi sicuro non per merito di apple) ma comunque instabile. (lo dichiaro per eperienza). Da ridere poi quando mac sputava su Intel e osannava il suo patetico G5, ora che ha trovato gli accordi commerciali giusti, il core2 che monta (ma solo quello di apple) è il migliore del mondo...mah, apple mi sembra + una questione di estetica e " Snobbismo " INFORMATICO.

[K7-500]

Chi è titolare dei diritti di Safari (chi paga i programmatori)?
Se è Apple allora il problema è loro e lo devono risolvere, perchè come molti hanno detto, ormai sul web ci stiamo e non siamo tutti dei bravi bambini. Però offrono un prodotto con applicazioni ecc +ttosto buono e sicuro (da quanto si evince dai commenti).
Se non è Apple allora loro hanno comprato un prodotto e devono parlare con chi ha programmato il software. E dargli una girata.


Però se il sistema ha retto a 50 hackers in fin dei conti non sarà così male, però la realtà delle cose è che nella natura ci sono 50000 hackers che aspettano fiduciosi che Mac Os giri l'angolo per frugarli nelle tasche.

Per cui è stato un ottimo test, ma nulla più, anche perchè se un hacker molto ricercato si fa vivo lo blindano al volo...


Tanto prima o poi tutti gli OS vengono in qualche modo colpiti, l'unico pc sicuro è quello spento

[Automator]

Quote:

Originariamente inviato da Cidibi

Mac OS secondo me è un os del c...
Apple vende macchine per utenti incapaci e SNOB. Si appoggia ad un kernel unix (quindi sicuro non per merito di apple) ma comunque instabile. (lo dichiaro per eperienza). Da ridere poi quando mac sputava su Intel e osannava il suo patetico G5, ora che ha trovato gli accordi commerciali giusti, il core2 che monta (ma solo quello di apple) è il migliore del mondo...mah, apple mi sembra + una questione di estetica e " Snobbismo " INFORMATICO.

Beh che apple ti stia sul C@@@o ok... ma che vieni a dire che BSD/Darwin sia instabile...

[fedro.lacozza]

> Mac OS secondo me è un os del c...

E' vero, OSX e' una chiavica, funziona a tratti si a tratti no,
si accende male e si spegne peggio. Quando viene su, a volte
lo sfondo e' giallo anche se l'ho messo a blu, e io non lo so come mai.
Poi una volta mi e' successa una cosa con OSX che non
ti sto neanche a dire perche' gia' hai capito di cosa parlo.
E un'altra volta, avevo scaricato un file .exe no? Bene, lo scarico
e non riesco a farlo partire, -un semplice setup.exe-, io non lo so,
nel 2007 stiamo messi cosi'? Cioe', io non lo so.
Tu lo sai? Perche' io non lo so mica.
Tra l'altro molto vera quella cosa degli utenti mac che sono SNOB.
Domenica pomeriggio stavo entrando in disco e un buttafuori non
mi ha lasciato perche' ero vestito con una felpa presa dai
cinesi.
Lui aveva una faccia SNOB, scommetto che usava apple.

[Asterion]

Quote:

Originariamente inviato da carpa69

secondo me il punto non è se questa falla è grave o no...
il punto è che alla fine di falla ne hanno trovata solo una per poter entrare.... e non è poco....
non è per fare del flame, ma obbiettivamente, se la microsoft avesse fatto lo stesso concorso... non so se il risultato sarebbe stato cosi ottimo...

Si ma qui parliamo di Apple non di MS, non alimentiamo flame.
E' una falla dato che OS X, come ogni sistema operativo, non è perfetto. Basta che, quando si trova una falla, venga sistemata a breve.

Trovo queste iniziative a pagamento una cosa geniale: incentivi delle persone competenti a mettere sotto stress le macchine per trovare bachi critici, così li sistemi e rendi il SO più sicuro, facendo guadagnare qualcosa legalmente a qualcuno!

[SiRioKD]

Mac OS X è l'unico sistema x macchine desktop abbastanza stabile e con applicazioni commerciali.
Il resto, o è Winsozz ... che si commenta da solo oppure è Linux che oramai è diventato anarchia e cmq di applicazioni commerciali ne ha ben poche. Gli altri sistemi operativi sono per settori di nicchia.

BSD/Darwin è stabile. Se poi ci metti altre cose che contengono falle e che accedono con permessi di amministratore è un'altra cosa.

Mac OS X non è solo il kernel è pieno di cose buone che altri S.O. cercano di scopiazzare e non parlo solo di interfacce 3D che fanno molta "scena"...

Il "suo" patetico G5 è della IBM e non di Apple... come Core2 è di Intel... quindi se commenti questo non fare due pesi e due misure. Apple ha semplicemente scelto la migliore CPU ad un prezzo decente. Prima il G5 era meglio di uno schifo come il Prescott (infatti a quel AMD faceva CPU migliori)... adesso Core2 è freddo ed è veloce quindi ha preferito cambiare architettura visto che IBM non voleva evolvere.

Apple tenta di scegliere il miglior HW, un buon design e ci mette su il suo sistema operativo che cmq è quello che vorremmo tutti. Se Microsoft facesse un sistema operativo stabile, chessò basato su un core unix, probabilmente Apple sparirebbe... ma alla M$ sono così scemi che non ci arrivano e continuano a sviluppare quell'obrobio che conosciamo, purtroppo, tutti.

SNOB? Perchè non vuoi spendere i tuoi soldini è SNOB? Perchè la qualità si paga e quindi è SNOB? Il PC che avevo prima con tutti i pezzi accuratamente scelti m'è costato di più di un iMac...

Apple è ANCHE estetica. Si, paghi anche il lavoro dei designer...

Apple non vende macchine per utenti incapaci. Io sono nell'informatica da molto tempo (1983), ho avuto anche macchine fatte bene come gli Amiga e ti assicuro che un MAC è una macchina per utonti e ANCHE per smanettoni nè più nè meno come un qualunque Linux.

Compra un MAC, tienilo per un bel pò... poi vediamo se hai voglia di tornare indietro...
...non c'è cosa peggiore di chi parla per sentito dire...




>Mac OS secondo me è un os del c...
>Apple vende macchine per utenti incapaci e SNOB.
> Si appoggia ad un kernel unix (quindi sicuro non per merito di apple) ma comunque instabile. (lo dichiaro per eperienza).
>Da ridere poi quando mac sputava su Intel e osannava il suo patetico G5, ora che ha trovato gli accordi commerciali giusti, il core2 che monta (ma solo quello di apple) è il migliore del mondo...mah,
>apple mi sembra + una questione di estetica e " Snobbismo " INFORMATICO.

[RaouL_BennetH]

Quote:

Originariamente inviato da fedro.lacozza

cut

Non ho mai avuto il piacere di possedere un mac, ma per quanto ne so, il "setup.exe" non è partito perchè gli exe sono i binari fatti per essere eseguiti su windows. Avresti avuto lo stesso risultato se avessi provato ad eseguirlo su un linux, unix, bsd, qnx et similia

Poi, per quanto riguarda i soliti luoghi comuni:

1) Ci sono utenti snob anche in tutti gli ambiti;

2) Tutti gli informatici seri e professionali che conosco, si limitano a considerare i sistemi operativi come sovra-strumenti per lavorarci con altri strumenti con i quali risolvere problemi di diversa natura, quindi, ogni ambito ha la sua soluzione e il suo set di strumenti.

3) I sistemi operativi sono dei 'semplici' programmi, e mi fa veramente orrore vedere che c'è gente pronta a scannarsi per queste cose... immaginiamoci poi per cose davvero importanti come diritti civili, libertà etc... ma non mi sorprendo visto l'andazzo generale di questo pianeta...

giusto il mio mezzo cent eh...

[Asterion]

Quote:

Originariamente inviato da RaouL_BennetH

Non ho mai avuto il piacere di possedere un mac, ma per quanto ne so, il "setup.exe" non è partito perchè gli exe sono i binari fatti per essere eseguiti su windows. Avresti avuto lo stesso risultato se avessi provato ad eseguirlo su un linux, unix, bsd, qnx et similia

Poi, per quanto riguarda i soliti luoghi comuni:

1) Ci sono utenti snob anche in tutti gli ambiti;

2) Tutti gli informatici seri e professionali che conosco, si limitano a considerare i sistemi operativi come sovra-strumenti per lavorarci con altri strumenti con i quali risolvere problemi di diversa natura, quindi, ogni ambito ha la sua soluzione e il suo set di strumenti.

3) I sistemi operativi sono dei 'semplici' programmi, e mi fa veramente orrore vedere che c'è gente pronta a scannarsi per queste cose... immaginiamoci poi per cose davvero importanti come diritti civili, libertà etc... ma non mi sorprendo visto l'andazzo generale di questo pianeta...

giusto il mio mezzo cent eh...

Il posto di fedro era volutamente ironico. Sono del parere e mi rivolgo a fedro, che invece di una risposta ironica è meglio segnalare, ci risparmiamo il flame delle 15

[RaouL_BennetH]

Quote:

Originariamente inviato da Asterion

Il posto di fedro era volutamente ironico. Sono del parere e mi rivolgo a fedro, che invece di una risposta ironica è meglio segnalare, ci risparmiamo il flame delle 15

Ops, ho fatto la gaffe della giornata... almeno, mi sono tolto il pensiero

peace

RaouL.