Si è svolto il PWN2OWN 2009, competizione in cui hacker di tutto il mondo si sfidano con l’obiettivo di penetrare in macchine e sistemi preparati per l’occasione, e dal “combattimento” i più popolari browser, Safari, Internet Explorer e Firefox, sono usciti sconfitti.
Il primo è stato Safari (installato su un MacBook aggiornatissimo), che è caduto nelle mani del white hat Charlie Miller in 2 secondi netti: il tempo di cliccare su un link adeguatamente predisposto e Miller ha potuto prendere il controllo della macchina (che gli è stata data in premio, assieme a 10000 dollari). C’è voluto un pò più di tempo invece a Nils (si conosce solo il nickname) per far capitolare Firefox e Internet Explorer 8, installati su un Sony Vaio con Windows 7.
Gli exploit e le falle utiilzzate per penetrare nei sistemi non saranno resi pubblici finchè non sarà stata rilasciata una apposita patch per evitare che qualche script kiddie ne approfitti per azioni illecite.
Via | ZDNet.com
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
AndreaTek
20 mar 2009 - 08:57 - #1Ma i prodotti Apple sono migliori, il concorso è tutto un fake.
:D
emaberg
20 mar 2009 - 09:32 - #2Più che altro, è una lotteria. Safari non è caduto in due secondi “da zero”, il tipo aveva scoperto la falla tempo prima, e aveva già preparato l’exploit, quindi è arrivato lì già preparato.
Ha puntato sul fatto che quel baco non fosse stato scoperto da Apple prima del concorso, perché se l’ultimo aggiornamento di sicurezza lo avesse corretto, lui avrebbe dovuto rifare tutto, e non è detto che Safari sarebbe stato sconfitto “in due secondi”.
Stessa cosa, più o meno, per gli altri. Il che dimostra che questo tipo di competizioni è sicuramente falsato. Perché sì, è vero, bisogna essere bravi a trovare un baco e a sfruttarlo, ma bisogna anche avere fortuna che non venga scoperto prima.
E allora mi chiedo: se uno scopre un baco e NON lo segnala perché spera che non venga corretto prima del concorso così può vincersi un computer, non è che mette a rischio la sicurezza di tutti gli altri? Come lo ha scoperto lui, quel baco può essere scoperto (senza dirlo in giro) e sfruttato da qualcuno che ha fini ben peggiori che vincersi un computer.
Apple, microsoft, e tutti gli altri: sarebbe ora che trovaste il modo di ricompensare direttamente chi trova i bachi. Un bel macbook al mese in regalo a chi trova il baco più insidioso
Fox82i
20 mar 2009 - 09:33 - #3Bene bene bene, anche quest’anno si rivede in brutta luce i prodotti Apple!!!
Mi piacerebbe tanto vedere come ora i fanboy di Apple reagiranno a questa amara sorpresa!
ps.: notare che da quando i software Appe e lo stesso SO Apple ha iniziato la sua “conquista”, i bug si stanno moltiplicando a dismisura
ilmargarit
20 mar 2009 - 09:49 - #4I bug di safari sono aumentati da quando è sviluppato anche per windows. Si devono concentrare su due diverse piatttaforme. Del tutto normale. Resta il fatto che il bug è un fatto normale. Un errore di programmazione umano che capita proprio perchè umano. Non esistono ancora virus, malware, worm e trojan per OS X. Ora bisogna che Apple chiuda la falla. L’anno prossimo ne troveranno un’altra. Tranquilli. I software sono scritti dagli esseri umani.
@go
20 mar 2009 - 10:51 - #5E Opera? Sarei stato curioso di vedere quanto è solido Opera, visto che io uso quello.
mm
20 mar 2009 - 11:01 - #6ilmargarit …nn ti fai un po schifo con quel tuo f.o.t.t.u.t.o. logo da comunista?…….tagliati la testa con quella falce del c.a.z.z.o. !
Takky
20 mar 2009 - 11:43 - #7@emaberg:
Il concorso non è fatto per vedere chi sia il più bravo a trovare Exploit, ma è fatto per spronare le persone che li trovano a renderli pubblici (5′000$ di ricompensa per qualsiasi 0-day Exploit trovato, non solo per il primo che li trova, Nils infatti si è portato a casa 15′000$)
@Vincenzo Baiocco:
Ci sono diverse imprecisioni:
Safari è stato bucato in 2 minuti ed il premio è stato di 5′000$.
2 Secondi erano veramente pochi visto che non faresti nemmeno in tempo a scriverlo il Link.
“Couple of Seconds” è letteralmente “un Paio di Secondi” che anche in Italiano è più simile a pochi secondi che non a 2 secondi netti!
Inoltre Safari è stato bucato 2 volte, con due 0-day exploit differenti (prima da Charlie e dopo da Nils ciascuno si è portato a casa 5′000$) e IE8 è caduto prima di Firefox mentre nell’articolo è sempre inserito per secondo (anche se non è mai specificato), anzi sembra che Firefox sia stato bucato proprio alla fine della giornata.
Chrome invece ne è uscito illeso.
http://dvlabs.tippingpoint.com/blog/2009/03/18/pwn2own-2009-day-1—safari-internet-explorer-and-firefox-taken-down-by-four-zero-day-exploits
MetalSho
20 mar 2009 - 11:54 - #8Per il momento, per tutti gli exploit di OSX c’è bisogno che sia l’utente a fare qualcosa (molte volte anche a dare la password).
Inizieremo ad aver “paura” quando qualcuno riuscirà a mettere in difficoltà i Mac senza che l’utente debba far nulla… cosa che invece è successo su Windows ;-)
__miky__
20 mar 2009 - 11:56 - #9Ma hanno partecipato solo 3 persone?
nickelgreen
20 mar 2009 - 13:21 - #10No.
La cosa sta tutta nel “come”.
Safari è caduto su OSX aggiornatissimo in 2 secondi 2.
Gli altri exploit erano stati preparati accuratamente allo stesso modo per gli altri 2 browser.
Il risultato è che Safari è stato “bucato” TRE volte (in 2 secondi due), Firefox DUE e IE8 soltanto UNA. Per IE8 hanno tribolato molto ed è caduto per TERZO, nonostante sfruttassero vulnerabilità che avevano già scoperto.
Quindi, il risultato è che Safari e OSX van chiamati con il loro vero nome: GIOCATTOLI (e pure costosi).
Questi, ragazzi, sono i fatti. Il 1998 è finito da un bel pezzo, aprite un po’ gli occhi e dimenticate religioni e ideologie.
(è più che un consiglio il mio).
nickelgreen
20 mar 2009 - 13:22 - #11“Per il momento, per tutti gli exploit di OSX c’è bisogno che sia l’utente a fare qualcosa (molte volte anche a dare la password).”
E’ lo stesso su Vista/7 (CHE PIACCIA O NO).
Sicuro di sapere di cosa parli?
italian style
20 mar 2009 - 14:19 - #12sembra che osx abbia meno buchi semplicemente xke non è molto diffuso…ma in realtà sarebbe un sistema molto più penoso di windows se venisse usato solo la metà di win, e poi è una boiata quella che leopard non ha virus, sono semplicemente poco diffusi ma ce ne sono per ogni tipo
ilmargarit
21 mar 2009 - 00:50 - #13@ #6:
Ma almeno l’hai visto bene il mio logo? si tratta del simbolo della Nike incrociato con un martello. Sono assolutamente liberale. Vengo da un paese che ha vissuto per 40 anni una dittatura comunista. Il mio logo vuole mettere in luce la stupidità delle persone come te. Tra Nike, il Marketing, la Moda, e il Comunismo non c’è alcuna differenza. L’individuo perde sempre. Prima di scrivere cavolate pensa. Chiedo scusa a tutti per l’off topic.
Boston
21 mar 2009 - 12:42 - #14Per me è tutta una farsa….