Cerca nel blog

2010/03/26

Mac, iPhone, Windows 7, IE8 bucati in pochi minuti

Smanettoni bucano Internet Explorer 8, Windows 7, Safari su Mac e l'iPhone. Bonus: rubano tutti gli SMS dal telefonino


Questo articolo vi arriva grazie alle gentili donazioni di "pegonet" e "fufiski".

La gara per smanettoni Pwn2Own, dove chi riesce a prendere il comando da remoto di un computer se lo porta a casa insieme a un premio in denaro, è tornata anche quest'anno in quel di Vancouver, e son botte da orbi per tutti.

Già il primo giorno sono caduti i due principali contendenti del mercato informatico. Charlie Miller, analista di sicurezza, ha sfruttato una falla del browser Safari per impossessarsi, da remoto ma anche fisicamente, di un MacBook Pro da 15 pollici con su Snow Leopard e tutti gli ultimi aggiornamenti di sicurezza, riuscendo a lanciare una shell completa, dalla quale ha potuto vedere tutti i file del computer-bersaglio ed eseguire comandi. A lui, oltre al laptop, vanno 10.000 dollari di premio.

L'olandese Peter Vreugdenhil, ricercatore di sicurezza indipendente, ha trapassato le difese di Internet Explorer 8 su Windows 7 a 64 bit, aggiundicandosi un laptop HP da 15 pollici e 10.000 dollari. Vreugdenhil è riuscito a superare due delle principali funzioni di sicurezza di Windows, il DEP (Data Execution Prevention) e l'ASLR (Address Space Layout Randomization), sfruttando una vulnerabilità di heap overflow che gli ha permesso di ottenere l'indirizzo base di un modulo DLL che IE8 carica in memoria e da lì ha eseguito l'exploit. I dettagli tecnici sono qui. Tempo necessario: poco più di due minuti.

Firefox 3 su Windows 7 non se l'è cavata meglio: Nils, della britannica MWR Infosecurity, è riuscito a scardinarne le difese, dimostrando di aver preso possesso del computer facendogli eseguire la Calcolatrice. Per le sue fatiche si è portato a casa un Sony Vaio da 13 pollici e il premio in denaro.

Alla fine della prima giornata, fra i sistemi operativi e i browser oggetto della prova resta in piedi soltanto Google Chrome 4 su Windows 7. Linux non era incluso fra i bersagli.

Anche i telefonini evoluti sono oggetto della gara. I bersagli possibili erano l'iPhone 3GS, il Blackberry Bold 9700, il Nokia E72 (Symbian) e l'HTC Nexus One (Android). L'iPhone si è rivelato particolarmente spettacolare nella sua vulnerabilità: Vincenzo Iozzo della società tedesca Zynamics e Ralf Philipp Weinmann dell'Università del Lussemburgo hanno sfruttato una vulnerabilità del suo browser Safari per estrarne il database degli SMS, compresi i messaggi cancellati, i contatti, le immagini e i file musicali di iTunes, semplicemente inducendo l'utente a visitare un sito appositamente confezionato. Tempo necessario per l'intrusione: 20 secondi. Si sono aggiudicati 15.000 dollari (da dividere) e un iPhone ciascuno.

Lo scopo della gara Pwn2Own è incentivare i ricercatori a scoprire falle e divulgarle in modo responsabile: infatti i dettagli tecnici dei metodi utilizzati non possono essere resi noti al pubblico ma vengono invece comunicati ai produttori di software affinché li correggano. E li correggano presto, si spera.

Fonti: ZDNet, Computerworld, Tech News World.

16 commenti:

theDRaKKaR ha detto...

spettacolo puro! :)

Fozzillo ha detto...

SPAVENTOSO.

Ti immagini ad andare alla gara come giornalista e connetterti alla LORO rete wi fi per aggiornare il blog?

Il Chaos Communication Congress di Berlino, pubblicava una pagina di sopravvivenza all'evento.

HOW TO SURVIVE

In pratica ti conviene formattare il portatile ed il cellulare sia prima che dopo il congresso!

smartiz ha detto...

E Android come si e' comportato ?

Verzasoft ha detto...

ma non ho capito:
di chi sono i computers attaccati? di utonti non informati su quello che sta per accadere? solo così si spiega che abbiano "visitato attivamente un sito appositamente preconfezionato".

e poi, i pc sono attaccabili da tutti indistintamente? non si danno fastidio uno con l'altro?

Hanmar ha detto...

PAURA! O_O

Vien voglia di spegnere pc e cellulare, metterli un una cassa di legno, versarci sopra un quintale di cemento a presa rapida e immergere il tutto in mare...

Saluti
Michele

Alessandro ha detto...

Vedo con piacere che l'accoppiata che uso io (Chrome 4 + Win 7) è la meno perforabile al momento... Chissà per quanto però...

Tukler (senza c) ha detto...

@Verzasoft:
di chi sono i computers attaccati?

Sono computer lì presenti e messi in palio dall'organizzazione.

solo così si spiega che abbiano "visitato attivamente un sito appositamente preconfezionato".

Evidentemente tra le possibilità di attacco contemplate dalle regole esiste indurre l'utente a visitare un sito. Non mi sembra un'opportunità tanto remota...

e poi, i pc sono attaccabili da tutti indistintamente? non si danno fastidio uno con l'altro?

Perché dovrebbero?

david ha detto...

E Opera?...e Linux?...
Ma gli hacker non erano "liberi, anarchici, contro tutto e tutti" ?
A me sembra una gran "sfilata" mediatico/pubblicitaria..

ritalinlasko ha detto...

Ho una domanda, cosa vuol dire che il Mac é stato preso da remoto ma anche fisicamente? O_o

VITRIOL ha detto...

@ritalinlasko
Vuol dire solo che l'hacker che riusciva a penetrare da remoto le difese di un certo computer oltre a vincere il premio in denaro vinceva anche il computer violato.

Saluti
VITRIOL

theDRaKKaR ha detto...

@Verzasoft

aggiungo a quello che dice TuCkler (con la Ck) che é utile ribaltare il punto di vista: quello che si prova in questi "contest" è che facendo operazioni assolutamente normali, come visitare un sito internet, si può cadere preda di un attaccante.

A volte si dimostra che basta accendere un computer e metterlo in rete per renderlo "aperto come una cozza"; altre volte è necessaria qualche operazioni in più, come visitare un sito. Ma si tratta sempre di operazioni fatte dall'attaccante: non è che si chiama un "utonto" apposta per fare due click. Non è infatti il comportamento dell'utente quello che si vuole dimostrare fallibile, ma il software. D'altronde è ampiamente dimostrato che il comportamento degli utenti è parecchio fallibile ;-)

theDRaKKaR ha detto...

ah dimenticavo, non si procede in contemporanea, ma ognuno ha il suo periodo di tempo assegnato nel quale tentare di bucare il sistema

si procede per sorteggio

http://www.youtube.com/watch?v=gHZaPec0_I8

VITRIOL ha detto...

@Alessandro
Probabilmente i processi in sandbox separate di Chrome non sono pura propaganda, ma hanno ripercussioni reali sulla sicurezza. In fin dei conti Chromium è il progetto più recente e tecnicamente più avanzato. Anche gli altri browser in futuro si adegueranno alla sua filosofia, ma immagino che ci vorrà un bel po' di lavoro. Chromium è già nato così :-)
Comunque sia già circola la leggenda metropolitana che Google in queste situazioni paga gli hacker per astenersi dal violare la sua creatura ;-)

Saluti
VITRIOL

Iilaiel ha detto...

@david

Questa "gara" è organizzata e finanziata da aziende private per trovare le falle e migliorare i propri prodotti.
Se vuoi vedere hacker veri all'opera su linux devi andare all'Hackmeeting.
Personalmente trovo iniziative come questa gara lodevoli: sono un modo indolore di individuare e tappare in tempi brevi gravi falle di sicurezza.

Su linux è un bel po' diverso tieni conto che per installare o aggiornare qualunque cosa o ti logghi come root o usi sudo (che logga come root ma per un singolo comando). Se non hai la password di root è difficile riuscire a installare virus\troyan. Direi che la cosa più probabile sia usare il social engineering per spingere l'utente a fare autogol.

Poi alla fine della fiera nessun sistema o programma è sicuro al 100% per due ragioni:
1) i programmatori sono umani e commetto errori sia in fase di sviluppo che di test
2) I cracker professionisti ci vivono e guadagnano bene con le loro bot net, furti di pwd, ecc... e passano tutto il giorno a studiare nuovi modi di inchiappettarci.

Il miglior sistema di sicurezza informatica sta in mezzo alle nostre orecchie.

kersal ha detto...

A dire il vero quello che mi spaventa di più è il problema con l'Iphone. Bene o male con il PC si è più cauti quando si naviga per via della sua "cattiva fama". L'utente che naviga con il cellulare non si immagine neppure che può essere attaccato o infettato.
Devo aggiungere anche che in assoluto la Apple è quella che impiega più tempo a patchare falle di sicurezza (più di sei mesi dall'ultimo P2OWN dove cadde in 30 secondi!).

Mousse ha detto...

Un cellulare è sempre e comunque visto come "un telefono": non ti viene nemmeno in mente che possa avere un sistema operativo. E tantomento che si possa "bucare".
Mi ha fatto strano quando ho collegato il debugger USB al telefono con Android e mi sono trovato davanti il classico #

Questi exploit "che richiedono pochi minuti" però mi sa tanto che in realtà siano frutto di giorni e giorni di studio e tentativi.. E noto pure che quasi tutti richiedono l'intervento "cosciente" dell'utilizzatore del dispositivo e soprattutto che coinvolgono quasi sempre i browser, che ormai sono diventati una delle "interfacce" standard tra OS e mondo esterno.. Forse i programmatori dovrebbero ripensare i browser come parti del sistema operativo.