CanSecWest ... 2 minuti per violare leopard

[matmat86]

da MELABLOG
Alla convention CanSecWest, che si chiude oggi a Vancouver, è stato bandito un concorso per trovare i punti deboli di alcuni diffusi sistemi informatici.
Le vittime designate erano un MacBook Air con Mac OS X, un laptop Fujitsu con Windows Vista e un portatile Sony con Ubuntu.
Per i primi due giorni è stato preso di mira il portatile di Cupertino, sottoposto a numerosi attacchi da parte degli esperti di sicurezza (leggi: hacker) presenti alla convention.
Per tutta la prima giornata il MacBook Air ha resistito a tutti gli attacchi compiuti dall’esterno, ma ieri è stato finalmente violato da Charlie Miller, a cui è però stato consentito di utilizzare il browser del MacBook per puntare su un sito creato ad hoc e dotato di un codice maligno. Miller (nella foto) è così riuscito a prendere il controllo remoto del MacBook Air, e a portarsi a casa i 10.000 dollari (e lo stesso MacBook) messi in palio.
Oggi, violato il Mac, verranno presi d’assalto gli altri “concorrenti”, ed in pochi scommettono che riusciranno a resistere. Un vecchio motto della sicurezza informatica recita che “l’unico sistema sicuro è un sistema isolato“: oggi ne abbiamo una ulteriore prova…


da HWUPGRADE
Mac OS X protagonista ancora una volta, suo malgrado, dell'annuale conferenza CanSecWest di Vancouver, Canada, incentrata sui problemi della sicurezza informatica. E' ormai tradizione, per l'organizzazione dell'evento, indire un concorso che mette in palio premi in denaro e PC previa violazione di uno dei sistemi messi a disposizione.
Nell'edizione di quest'anno sono stati messi a disposizione tre diversi sistemi: un portatile Fujitsu U810 con sistema operativo Windows Vista Ultimate SP1, un MacBook Air con "Leopard" in versione 10.5.2 e un sistema Sony VAIO VGN-TZ37CN con Linux Ubuntu 7.10. La durata del concorso è stata fissata in tre giorni, nel corso di oguno dei quali viene progressivamente abbassato il livello di difficoltà.
Nel corso della prima giornata, nella quale è impedito l'accesso fisico alla macchina ma è possibile sfruttare solamente attacchi da remoto, tutti e tre i sistemi sono rimasti inviolati. A partire dal secondo giorno, invece, è stata resa possibile l'interazione diretta tra i sistemi e i concorrenti ed è stato in questo frangente che uno dei concorrenti, Charlie Miller, è stato in grado di violare Mac OS X in appena due minuti.
Miller ha sfruttato una falla presente in Safari, che non è stata resa pubblica e sarà svelata solamente ad Apple, visitando un sito web opportunamente preparato con la presenza di codice malevolo che ha così permesso l'esecuzione di codice da remoto consentendo a Miller di prendere il controllo della macchina. Il concorrente si è così aggiudicato il premio di 10 mila dollari e il MacBook Air violato.

...

Trovo oltremodo scandaloso il modo in cui si è sviluppata la discussione nelle news di hwupgrade, con sberleffi e burle come al solito
posto qui nella speranza che se ne possa parlare seriamente e serenamente... se invece degenera come di la prego il leron o chi per esso di chiudere tutto

[Elbryan]

Riporto un mio post:

Quote:

Ma se io mi preparo un sito in 30-40 giorni sfruttando un bug/exploit di Safari.
Vado al concorso e vado sul sto sito.. Grazie al cazzo dei 2 minuti..

Comunque c'è da dire che con Windows XP tiri fuori o resetti la pass di amministratore con un floppy al boot (tempo 5 minuti) e la macchina era tua.

Sono invece contento del fatto che tutti e 3 da remoto siano risultati inaccessibili.. cosa più importante.

Con accesso fisico alla macchina ci sono milioni e milioni di strade per ogni OS.

Mi piacerebbe sapere quanta gente cifra la propria home o i propri documenti sul PC.

[matmat86]

quello che penso anche io... ciò nonostante spero che alla apple riescano a risolvere anche queste falle

[Elbryan]

Il fatto è che i possessori di un mac diventano al 90% fanboy.

Mi sta troppo sul glande leggere di gente che litiga per un sistema operativo.

Alla fine ognuno sceglie cosa usare.. (lasciamo stare la politica Apple che fa cagare, imho).

E poi osx viene visto come "l'os più figo e più sicuro del mondo" e quindi fa scena e fa scoop e fa figo fare un titolo "due minuti per violare Mac OS X".

Se ci fosse stato scritto "due minuti per violare Windows XXX" ci sarebbero stati i fanboy Apple ad asdare alla facciazza dei Windowsiani.

Imho ci vuole un po' di coerenza.

PS: Invito tutti a non leggere mai i commenti delle news poiché il 90% della gente che ci posta sono ignorantoni.

[_mr_]

avrò letto una decina di volte questa news su 10 siti diversi...ma alla fine non sono riuscito a capire come si svolge effettivamente la gare (sono li tutti insieme oppure si va a turni uno alla volta?); poi, gli altri due OS sono stati attaccati ma nessuno è riuscito a portare a termine con successo l'attacco oppure nessuno ha provato ad attaccarli??

Non esiste un report della gara, qualcosa che spieghi bene cosa è successo (non come è stato portato a termine l'attacco, ma come si sta svolgendo la gara)??

secondo me c'è poca chiarezza nella news che è rimbalzata da un sito all'altro...


E cmq, per tornare alla news...non vedo il problema, non esiste alcun software od OS sicuro al 100%...l'unico sistema sicuro è un sistema isolato...
Io continuerò ad usare OS X fregandomene di tutti gli sfigatelli che prendono per il didietro...evidentemente qualcuno è un po' frustrato e in questo modo si solleva il morale...e poi il problema era di safari, io uso ff, quindi la cosa non mi tange
in ogni caso non mi sembra la prima volta che viene scoperta una falla in un software, non ci vedo niente di così straordinario...si scoprono falle nuove (più o meno gravi) ogni giorno in ogni software e vengono prontamente corrette dagli sviluppatori

By the way...Peace

[ShadowThrone]

ma pure io conitnuerò ad usare osx, come vista e come altri os.
'ste notizie lasciano il tempo che trovano.... nel senso che, quant'è reale questa falla? se non ci fosse stato questo concorso, Apple, l'avrebbe dichiarata?

[Cisto]

Ti dico molto rapidamente la mia su entrambe le questioni... è già un miracolo che tutte e 3 le macchine abbiano superato la prima giornata (quindi la sicurezza da attacchi compiuti dall'esterno senza partecipazione da parte dell'utente è ormai ottima per tutti e 3 gli OS più diffusi); per l'hack via Safari, sarai curioso di saperne di più, pare che sia stato realizzato con sfruttando bug più o meno noti di java e quicktime, ma in giro non si trova molto. In ogni caso, complimenti al tizio, 10000 dollari (+ il MBA) sono una bella cifretta e la soddisfazione di essere riuscito nell'impresa immagino sia per lui una gran bella soddisfazione.

Per la discussione nella news, a cui ho dato una letta: non credo che ci si possa aspettare molto, il target ed il livello medio di chi frequenta questo sito ormai è ai minimi storici (detto come va detto, leggilo così: l'utente medio è un ragazzetto sparasentenze "appassionato" di hitech, ovviamente senza alcuna competenza specifica reale --> vedi i thread flammosi nelle varie sezioni ove gli utenti non fanno altro che riportare come proprie cose lette o tradotte malamente dalla wikipedia ); questo non accade solo nelle news eh, prendi ad esempio questa sezione: i thread che compaiono sono sempre gli stessi (che versione di windows devo mettere, come faccio con msn, che antivirus metto, voglio il macmini quadcore con 32gb di ram a 399 euro, ecc ecc) oppure sono richieste di una stupidità infinita (invece che chiedere si farebbe prima a cercare su google o a leggere l'help in linea )... ovvio che poi, giorno dopo giorno, la situazione peggiori: non c'è da stupirsi se dopo un po' gli utenti "esperti" (anche se la parola migliore sarebbe "normali") abbandonano il forum e quello che ti ritrovi è unicamente questo.
O perlomeno, questo è il mio (opinabilissimo, per carità) punto di vista.

[fotomodello]

se non erro anche l'anno scorso questo concorso mise in evidenza lacune della sicurezza del sstema operativo osx....subito seguite da security update

prepariamoci al prossimo attraverso aggiornamento osftware...

in ogni modo io rimango fedele ad osx e non a quel trattore di vista....

[innominato5090]

Quote:

Originariamente inviato da Cisto

per l'hack via Safari, sarai curioso di saperne di più, pare che sia stato realizzato con sfruttando bug più o meno noti di java e quicktime, ma in giro non si trova molto. In ogni caso, complimenti al tizio, 10000 dollari (+ il MBA) sono una bella cifretta e la soddisfazione di essere riuscito nell'impresa immagino sia per lui una gran bella soddisfazione.

non ne saprai mai di più finchè apple non rilascerà una patch x correggere il sistema... l'hacker ha dovuto firmare a fine gara una dichiarazione dove prometteva di non rivelare il bug sfruttato, pena causa milionaria

[gianmini]

tra l'altro l'hacker ha impiegato 2 minuti durante la dimostrazione, ma chissà quante ore (giorni?) ha impiegato per trovare il modo di entrare!!!!!

e poi al primo step nn vi sono stati risultati e questo ovviamente nn faceva notizia e dunque è stato "sorvolato!!!"

cmq dopo 2 anni senza antivirus, antispyware e firewall sn ancora in vita!!!!

con windows durerei 2 giorni!

ho detto tutto....

[ShadowThrone]

e infatti, è da 1ora che sto al telefono con la sorella della mia ragazza che s'è presa qualcosa sul pc... un maledetto spyware... ora vai a parlarle di smitfraud, di hijackthis, di bartpe... spybot come al solito lo rileva.. ma non lo cancella..

e io non riavvio il mac da lunedì...

[lollo_rock]

Quote:

Originariamente inviato da ShadowThrone

e infatti, è da 1ora che sto al telefono con la sorella della mia ragazza che s'è presa qualcosa sul pc... un maledetto spyware... ora vai a parlarle di smitfraud, di hijackthis, di bartpe... spybot come al solito lo rileva.. ma non lo cancella..

e io non riavvio il mac da lunedì...

vivo bene su os x, mi basta cosi

[Mailor]

la parte bella del discorso, e dico sul serio, è notare come FINALMENTE i maledetti fan boy di Apple stanno mettendo la testa a posto, capendo le posizioni più sensate.

la parte ancora più bella, altresì, è vedere che tanto quanto gli "invasati della mela" si rinsaviscono, tanto gli "invasati contro la mela" si rincitrulliscono. Ormai i fan boy sono quelli che non hanno un Mac, è diventato "fan" chi da contro Apple in quanto azienda ed ai suoi utenti.

Non notate anche voi questo accanimento sempre maggiore nei confronti di situazioni quantomeno banali, affrontate (da ambo le parti, comunque) in maniera superficiale ed inconcludente?

Si scopre qualcosa che non va in un prodotto Apple, e tutti a prendere per il chiurlo gli utenti Apple, senza nemmeno badare a ciò che si dice, oltre che dicendo una marea di cagate pazzesca.

Sono i fan boy della nuova era.

[_mr_]

Quote:

Originariamente inviato da Mailor

la parte bella del discorso, e dico sul serio, è notare come FINALMENTE i maledetti fan boy di Apple stanno mettendo la testa a posto, capendo le posizioni più sensate.

la parte ancora più bella, altresì, è vedere che tanto quanto gli "invasati della mela" si rinsaviscono, tanto gli "invasati contro la mela" si rincitrulliscono. Ormai i fan boy sono quelli che non hanno un Mac, è diventato "fan" chi da contro Apple in quanto azienda ed ai suoi utenti.

Non notate anche voi questo accanimento sempre maggiore nei confronti di situazioni quantomeno banali, affrontate (da ambo le parti, comunque) in maniera superficiale ed inconcludente?

Si scopre qualcosa che non va in un prodotto Apple, e tutti a prendere per il chiurlo gli utenti Apple, senza nemmeno badare a ciò che si dice, oltre che dicendo una marea di cagate pazzesca.

Sono i fan boy della nuova era.

si, purtroppo ci sono dei fanATICI boy...ma noto che son sempre di più quelli che amano dar contro ad apple che quelli che la difendono a spada tratta senza argomentazioni sensate

[Mailor]

Quote:

Originariamente inviato da _mr_

si, purtroppo ci sono dei fanATICI boy...ma noto che son sempre di più quelli che amano dar contro ad apple che quelli che la difendono a spada tratta senza argomentazioni sensate

esattamente quello che dicevo :sisi: mi trovi in linea con te al 100%

[nandox80]

Quote:

Originariamente inviato da Cisto

Ti dico molto rapidamente la mia su entrambe le questioni... è già un miracolo che tutte e 3 le macchine abbiano superato la prima giornata (quindi la sicurezza da attacchi compiuti dall'esterno senza partecipazione da parte dell'utente è ormai ottima per tutti e 3 gli OS più diffusi); per l'hack via Safari, sarai curioso di saperne di più, pare che sia stato realizzato con sfruttando bug più o meno noti di java e quicktime, ma in giro non si trova molto. In ogni caso, complimenti al tizio, 10000 dollari (+ il MBA) sono una bella cifretta e la soddisfazione di essere riuscito nell'impresa immagino sia per lui una gran bella soddisfazione.

Per la discussione nella news, a cui ho dato una letta: non credo che ci si possa aspettare molto, il target ed il livello medio di chi frequenta questo sito ormai è ai minimi storici (detto come va detto, leggilo così: l'utente medio è un ragazzetto sparasentenze "appassionato" di hitech, ovviamente senza alcuna competenza specifica reale --> vedi i thread flammosi nelle varie sezioni ove gli utenti non fanno altro che riportare come proprie cose lette o tradotte malamente dalla wikipedia ); questo non accade solo nelle news eh, prendi ad esempio questa sezione: i thread che compaiono sono sempre gli stessi (che versione di windows devo mettere, come faccio con msn, che antivirus metto, voglio il macmini quadcore con 32gb di ram a 399 euro, ecc ecc) oppure sono richieste di una stupidità infinita (invece che chiedere si farebbe prima a cercare su google o a leggere l'help in linea )... ovvio che poi, giorno dopo giorno, la situazione peggiori: non c'è da stupirsi se dopo un po' gli utenti "esperti" (anche se la parola migliore sarebbe "normali") abbandonano il forum e quello che ti ritrovi è unicamente questo.
O perlomeno, questo è il mio (opinabilissimo, per carità) punto di vista.

marco sante parole.....
p.s. ma mi consigli adium o amsn?

[Ravered]

Alla fine anche se ci metti molta pazienza nella sezione news finisce sempre allo stesso modo. Però non capisco perché ci siano tutte queste persone che appena sentono Apple vedono rosso e partono alla carica, inventando le più assurde stronzate contro Apple. Gente che non ha neanche mai usato un Mac per 5 minuti........ ma........

[omerook]

forse perche quando si viene a dare una sbirciata in questa sezione se ne leggono di tutti i colori!

[lollo_rock]

Quote:

Originariamente inviato da omerook

forse perche quando si viene a dare una sbirciata in questa sezione se ne leggono di tutti i colori!

[Ravered]

Quote:

Originariamente inviato da omerook

forse perche quando si viene a dare una sbirciata in questa sezione se ne leggono di tutti i colori!

Si ma qui frasi del tipo " i win user sono dei mentecatti " non le trovi, stai tranquillo. Rileggi le news riguardanti Apple e vedrai quanti epiteti trovi contro Apple ed i suoi utilizzatori.