iPhone, Safari, Internet Explorer 8 e Firefox, tutti sopraffatti nel primo giorno del Pwn2Own, la consueta gara tra hacker che si è svolta durante la conferenza sulla sicurezza CanSecWest.
Charlie Miller, vincitore delle passate edizioni e famoso per aver parlato di 20 falle di tipo zero day in Mac OS (Mac OS X colabrodo, ha 20 falle zero day), si è portato a casa 10 mila dollari dopo aver "bucato" Safari su un MacBook Pro. L'attacco è stato commesso in remoto, senza avere accesso fisico al sistema.
Peter Vreugdenhil, olandese, ha vinto anch'esso 10 mila dollari per aver oltrepassato le difese di Internet Explorer 8 su un Windows 7 64 bit aggiornato con le ultime patch di sicurezza. La stessa cifra è andata a Nils (con molta umiltà ha deciso di non divulgare il proprio nome e cognome), ricercatore dell'azienda inglese MWR InfoSecurity, che ha sconfitto Firefox.
Infine, Ralf Philipp Weinmann dell'Università del Lussemburgo e Vincenzo Iozzo dell'azienda tedesca Zynamics (è italiano!) hanno "bucato" un iPhone non "jailbreakkato" (craccato per installare applicazioni al di fuori dell'App Store). I due si sono divisi un premio di 15 mila dollari.
Charlie Miller, poco loquace dopo il contest, ha dichiarato che il MacBook Pro è stato compromesso visitando un sito web con codice maligno. Vreugdenhil ha invece sfruttato due vulnerabilità in IE8 con "un attacco a quattro parti che ha richiesto di bypassare la tecnologia ASLR (Address Space Layout Randomization) ed evitare la DEP (Data Execution Prevention). Aggirate le due tecnologie di sicurezza, è bastato visitare una pagina con un codice maligno per portare a termine l'attacco". Il ricercatore ha condiviso su un documento PDF la tecnica usata per aggirare IE8.
Nils ha sfruttato una vulnerabilità corruption memory e ha anch'esso aggirato ASLR e DEP per via della "debole" implementazione nel browser Mozilla.
Hacker al lavoro su iPhone. Foto: Zdnet
Microsoft ha dichiarato che indagherà sulle vulnerabilità di ASLR e DEP, sottolineando che al momento non sono a conoscenza di attacchi pubblici su larga scala.
Tra i browser per computer presenti al concorso, solo Google Chrome è rimasto "in piedi" il primo giorno.
L'attacco ad iPhone (3GS, 3.1.3), infine, è stato realizzato grazie a un exploit scritto in due settimane e progettato per rubare il contenuto del database SMS (potenzialmente si possono fare anche altre cose all'insaputa dell'utente). L'exploit è stato portato visitando un sito web con codice maligno. Il tutto è durato meno di 10 minuti. A detta dei due hacker il problema maggiore è stato quello di superare la firma digitale del codice.
Fortunatamente Apple, Microsoft e Mozilla sono state messe al corrente delle vulnerabilità e potranno lavorare a dei correttivi. Aspettiamoci diversi aggiornamenti nelle prossime settimane.
Elezioni regionali in Italia: Kratos o Madison?
L'hardware di fascia alta attira sempre meno
CTRUS, il pallone da calcio che tutti vorremmo
Activa Zepto, un nettop quasi invisibile
Google Maps mostra anche il prezzo degli alberghi
Samsung Corby N150, un netbook dalle tinte forti
Mondadori punta sugli e-book, prezzi già decisi
Windows Phone 7 è chiuso, Firefox Mobile fugge
Acer TimelineX, portatile con batteria da 12 ore
Toshiba svela hard disk per portatili da 750 GB e 1 TB
Il Registro Italiano in Internet riprova la truffa
labaia.net chiude, la Finanza lucchetta i server proxy
Google è un covo di spie. L'accusa di Pechino
Aspire Ethos 5943G e 8943G con ATI DirectX11
Nintendo Wii con supporto HD 1080p, ecco il trucco
iPod e iPhone rubano terreno a Nintendo DS e PSP
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard
Mac OS X colabrodo, ha 20 falle zero day Pwn2Own 2010, basta Safari per violare un Mac Virus, da Windows a Mac, le minacce sono ovunque Virus, da Windows a Mac e Linux, nessuno è al sicuro Sicurezza informatica, parola a un Hacker Pwn2Own 2009, smartphone inviolati Pwn2Own 2009, Safari e IE8 cedono in pochi secondi Pwn2Own 2009, telefoni e browser sotto torchio I virus più devastanti della storia Anche l'Italia avrà la sua cyber-roccaforte di difesa
31 commenti
Commenti