Alla CanSecWest PWN2OWN 2008, la conferenza più importante al mondo in ambito di sicurezza digitale, si è tenuto un interessante evento: si tratta di un hacking contest su 3 portatili, ognuno dei quali aveva preinstallato uno dei 3 principali sistemi operativi (Linux, OSX e Vista).
In particolare stiamo parlando di un Sony Vaio che montava Ubuntu 7.10, un Fujitsu U810 con Vista Ultimate SP1 e un MacBook Air con installato OSX 10.5.2.
Al fine di scoprire nuovi bug di questi tre sistemi è stato chiesto ai partecipanti (motivandoli con un consistente premio in denaro) di provare a entrare in uno dei sistemi sfruttando ogni hack possibile, dovendo rispettare alcune regole: innanzitutto non potevano accedere fisicamente ai computer, secondariamente non potevano sfruttare hack multipiattaforma per “forzare” tutti e tre i sistemi e infine ogni attacco poteva durare al massimo 30 minuti (ma ogni hacker aveva più tentativi).
Partiamo con il presupposto che i risultati non sono assolutamente indicativi della sicurezza/insicurezza dei sistemi. Tuttavia bisogna riportare che, durante il secondo giorno del contest, il MacBook è stato il primo a cadere dopo solo 3 minuti di attacco a causa di un bug di Safari; sempre durante la giornata Shane Macaulay (il vincitore dell’ hacking contest dell’ anno scorso) è poi riuscito a prendere il controllo di Vista sfruttando un bug di Java che aggirava le misure di sicurezza del sistema operativo.
E Linux? A quanto pare i 400 pretendenti pur avendo trovato parecchie falle in Ubuntu 7.10 non hanno tentato di sviluppare il codice per forzare il Sony Vaio, lasciando così il sistema inviolato. Tuttavia secondo Terri Forslof, manager della Tipping Point, il motivo di questo risultato non è stata una maggior sicurezza di Linux rispetto agli altri sistemi operativi, quanto piuttosto il disinteresse dei contendenti verso il sistema open source.
Sempre secondo Forslof gli altri sistemi sono stati “presi d’ assalto” perchè in fondo trovare bug per Windows Vista e Mac OSX paga (soprattutto in termini di pubblicità), mentre per Linux no. Sembra proprio che Linux abbia nei mass media il suo peggior nemico.
Via | Linuxworld.com
Seguici
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
(4 Voti | Media: 4 su 5)
Guitar
03 apr 2008 - 09:16 - #1Mah sta storia della mancanza di interesse mi sembra un po’ strana… meglio così cmq… a mio parere mac os si è fatto una figuraccia ma bisogna dire che oltre a quei 3 minuti durante la gara ci sarà stato un bel po’ di lavoro dietro…
sirus
03 apr 2008 - 09:20 - #2Piccola precisazione, la falla utilizzata per bucare Vista risiede in Flash e non in Java, Java è stato utilizzato per superare il DEP (le applicazioni Java hanno problemi di esecuzione se viene utilizzato il DEP quindi viene disabilitato per questo tipo di applicazioni).
In più il bug utilizzato per Vista è cross-platform quindi sarebbe stato efficace su tutti i sistemi operativi (anche più facilmente su Mac OS X che non supporta NX-bit, aka DEP) quindi potenzialmente Ubuntu è vulnerabile quanto Vista.
Particolare la storiella che nessuno ha voluto bucare Ubuntu perché non porta nessun miglioramento della propria immagine nel mondo dell’hacking. :D
Marenzio
03 apr 2008 - 09:21 - #3Da altre fonti ho letto che vista è stato violato grazie ad una falla di adobe flash, non di java. Per quanto riguarda gli ubuntu è ovvio che non siano interessati a bucare sistemi open source, preferiscono bersagliare gli “inguiiellati e iccruattati” utenti microsozz!
blackout
03 apr 2008 - 09:51 - #4mai lette tante cavolate in una volta sola (in merito all’argomento e in generale nel web)
se partecipi a un concorso in cui lo scopo e’ bucare un sistema, tu lo buchi
il fatto di non-interesse pubblicitario o della presunta etica sono delle stupide affermazioni e chi lo afferma e’ ancora piu’ stupido..
diciamo invece la verita’, che i bugs sfruttabili ci sono ma che ci vuole molto piu’ tempo per partorire un exploit capace di sfruttarli e per i nostri amici hackers e’ stato piu’ semplice progettare degli exploit per vista e macos
l’etica e la pubblicita non sono scuse plausibili quando di mezzo ce un premio (soldi) e la fama di ottimo professionista IT.
Quindi cortesemente evitiamo di alimentare queste dicerie.
WastedBrain
03 apr 2008 - 10:52 - #5Spero che almeno alla fine di questa farsa, si degnino di fornire alla comunità OS la lista delle “parecchie falle”…altrimenti questa notizia puzzerebbe proprio di FUD…
Soprattutto, non capisco dove possa stare la mancanza di interesse, se in palio c’è un premio in denaro, cos’è gli fanno schifo i soldi adesso?
ossmlcr
03 apr 2008 - 11:37 - #6@blackout
No, è andata proprio così: gli hacker partecipanti hanno deciso di non provare ad attaccare il linux, anche se sapevano come fare:
http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9074102&taxonomyId=17&intsrc=kc_top
Ed infatti questo mostra che razza di contest idiota è questo CanSecWest, dove i concorrenti scelgono l’ordine che vogliono per i sistemi, dove si possono installare programmi di terze parti arbitrari, o dove ci sono accordi preliminari in cui i partecipanti decidono di non toccare un sistema specifico.
La risonanza che ha avuto nel Web questo contest è davvero esagerata in relazione alla scarsa qualità delle regole scelte.
carlux
03 apr 2008 - 11:53 - #7Altra piccola precisazione: non è vero che i concorrenti non potevano toccare i sistemi, o meglio non potevano farlo nella prima sessione di tentativi (quella che “pagava” di più…); infatti il MacBook è stato “bucato” nella seconda sessione accedendo da Safari ad una pagina “maligna” predisposta dall’hacker.
Concordo inoltre sull’idiozia del contest per come è stato concepito…
sirus
03 apr 2008 - 12:01 - #8@ blackout
Considera che l’hacker che ha bucato Vista ha affermato che l’exploit è riproducibile su tutti i sistemi operativi poiché si tratta di software cross-platform.
Tuttavia lui programma da tempo in ambiente Windows ed ha abbandonato *nix da tempo quindi non aveva tempo per produrre un exploit per Ubuntu e si è fiondato su Windows che conosce meglio a livello di programmazione.
sconforto
03 apr 2008 - 12:04 - #9 (nascondi)questo post dimostra le seguenti cose:
1. chi usa sistemi closed credendo nella “security through obscurity” è un idiota e gli si dovrebbe impedire per legge di fare il sys admin;
2. un concorso al quale i partecipanti si iscrivono ma si rifiutano di partecipare è comunque una porcheria;
3. ossblog si dimostra ancora una volta l’ultimo anello della catena, riportando una notizia vecchia di 10 giorni
Cyber-Wizard
03 apr 2008 - 14:01 - #10>> chi usa sistemi closed credendo nella “security through obscurity” è un idiota e gli si dovrebbe impedire per legge di fare il sys admin….
omg!
comunque complimenti ad ossblog: questo è uno dei pochi siti che ha riportato in modo corretto la notizia di quanto facesse pena il contest, a differenza di altri siti che hanno sbandierato frasi come “macosx crolla subito”, “Vista craccato”, “Linux resiste”, etc… incluso il doppio merito, poiche questo è un sito OSS-oriented, di non aver amplificato il mito del “Linux inviolabile” anche se questo rientra nei vostri (credo) interessi.
Complimenti quindi per l’imparzialità e la correttezza.
Carlo.OS
03 apr 2008 - 14:14 - #11Condivido l’idea comune che questo contest sia abbastanza inutile, e quoto in pieno Cyber-Wizard sull’opinione riguardo ad OSSblog. Trovo le notizie riportate da questo blog in media decisamente interessanti.
cicoandcico
03 apr 2008 - 14:47 - #12non c’entra con la notizia. volevo segnalare che firefox3 beta 5 visualizza questa pagina in maniera errata, in particolare il box blu che sovrasta il commento (quello con i pulsanti per il voto) non si estende per tutta la lunghezza del commento stesso.
cicci8
03 apr 2008 - 14:55 - #13Quale parte di “beta 5″ non ti è chiara?
baluba
03 apr 2008 - 19:39 - #14Vi siete mai chiesti cosa facciano nella vita questi “hacker” che poi partecipano a questo tipo di concorso?
Pensate che uno faccia l’hacker perche’ ha tempo da perdere?
E’ gente che guadagna dei bei soldi ogni volta che trova un exploit utilizzabile. Esiste un mercato di questi exploit, si parte di solito da un minimo di $10,000 e si va a salire anche di parecchio.
Quale credete che sia l’interessa da parte dell’acquirente dell’exploit? Di venire a guardare cosa avete sul vostro PC di casa?
Qual e’ la piattaforma piu’ diffusa al mondo? Linux? No! E’ l’odiato Winzoz e gli hacker di professione si dedicano a Winzoz non certo a Linux, perche’ e’ quello che richiede il mercato.
Se Linux invece dell’1% avesse il 20% allora forse 1 hacker su 5 si dedicherebbe a Linux.
Siete risuciti ad arrivare fin qui? Mi rivolgo in particolare a quel genio di blackout…
Gica78R
03 apr 2008 - 23:26 - #15Passiamo tutti in massa a OpenBSD? :-D
Ciao
blackout
04 apr 2008 - 12:10 - #16baluba probabilmente e’ come dici tu
hai le prove delle cose che dici?
cicoandcico
04 apr 2008 - 21:13 - #17@cicci8
questo tuo atteggiamento è proprio antipatico. io stesso sono un webmaster e sono più che felice quando mi segnalano problemi di visualizzazione. poi sta a loro decidere se il problema è di firefox o del codice. non vedo dove dovrebbe stare la mia (presunta) offesa nei confronti di ossblog o degli sviluppatori del panda.
cicci8
08 apr 2008 - 10:33 - #18@cicoandcico
Non ha senso segnalare un funzionamento irregolare con un prodotto che è in fase beta.
Prodotto in fase beta = prodotto non finito.
Se continui a credere che il tuo post sia utile probabilmente potresti andare anche dal sindaco e far notare che le strade del suo comune non sono percorribili da auto alle quali non è ancora stato montato il motore.
Sad0felix
08 apr 2008 - 11:34 - #19Quoto cicci8.
cicoandcico, non te la prendere ma il tuo post non vuol dire assolutamente nulla qui. Se fai il beta tester di Firefox significa che devi fare il report ai programmatori Mozilla.
E’ più probabile che sia scritta male una pagina che viene visualizzata correttamente dagli altri browser (fra cui Firefox 2.0.0.13 che ho io) oppure che ci sia un bug nel tuo browser BETA (quindi instabile e intrinsecamente problematico)?
A questo dovevi arrivare tu prima di postare.
La mia risposta sarebbe stata:
Eh, e allora? Tanto piacere, usa un altro browser.
O magari tu sei un ex programmatore della microsoft e hai deciso che siccome tu non puoi correggere un bug della tua applicazione allora tutto il mondo si deve standardizzare al bug?
Dai, non te la prendere, hai scritto una cosa inutile, finisce qua.
Salut :D