venerdì 26 marzo 2010

Firefox 3.6.2 finalmente blindato, ma Chrome 4 il browser più sicuro


Il Pwn2Own è uno dei concorsi tra i più interessanti del mondo informatico. Al concorso hanno partecipato una selezione di hacker, sia molto esperti che non, che si son sfidati a trovare dei bug, errori nella scrittura di programmi software che metterebbero a rischio la sicurezza dell’utente, presenti in alcuni dei prodotti software più usati al mondo. Quest’anno il concorso si è tenuto al CanSecWestConference a Vancouver

La società di sicurezza TippingPoint ha messo in palio 100.000 dollari per premiare i vincitori del concorso. La competizione ha avuto due obiettivi principali, infatti gli hacker non si sono concentrati solo sulla sicurezza dei browser, come erano soliti fare, ma anche sui cellulari di ultima generazione. Pwn2Own 2010 si è tenuto nel corso di tre giorni a partire dal 24 marzo scorso. Vediamo su quali web browser e relativi sistemi operativi si sono dovuti concentrati gli hacker.

Giorno 1.
Giorno 2.
  • Microsoft Internet Explorer 7 on Windows Vista
  • Mozilla Firefox 3 on Windows Vista
  • Google Chrome 4 su Windows Vista
  • Apple Safari 4 su MacOS X Snow Leopard
Giorno 3.
  • Microsoft Internet Explorer 7 su Windows XP
  • Mozilla Firefox 3 su Windows XP
  • Google Chrome 4 su Windows XP
  • Apple Safari 4 su MacOS X Snow Leopard
Ecco la lista dei cellulari di ultima generazione su cui si sono sfidati.
A Vincenzo Iozzo e Ralf Philipp Weinmann, ricercatori universitari, sono bastati 20 secondi per entrare in Safari su iPhone 2,0, prendere possesso del database degli SMS, spedirlo d un server remoto e dimostrare cosi la vulnerabilità del sistema. I 2 ricercatori hanno poi ammesso che, con lo stesso sistema, è possibile prendere il controllo anche dei dati personali, delle foto e delle email. L’operazione che ha consentito di portare a termine l’exploit è durata circa 2 settimane. 

Male anche Safari per Mac OSX, lo stesso autore che lo aveva violato nelle scorse edizioni: Charlie Miller, è riuscito a sfruttare un exploit inserito in una pagina web e da li a prendere il controllo del MacBook Pro. Per questo, Charlie Miller si è portato a casa il premio di 10.000 dollari. Internet Explorer 8 su Seven è stato violato dall’olandese Peter Vreugdenhil che ha messo a punto un attacco in 4 parti, riuscendo alla fine a prendere il controllo del PC ed a portarsi a casa un premio analogo al precedente.

 E' caduto sotto i colpi dei ricercatori anche Firefox 3 su Windows 7, segno che c’è ancora molto lavoro da fare per i big del settore. La sorpresa è stata rappresentata da Google Chrome 4, l’unico browser che ha resistito a tutti gli attacchi, merito anche della sua architettura basata su sandbox. Per gli ultimi due anni il campione del concorso Pwn2Own è stato Charlie Miller (0xcharlie su Twitter), uno dei più famosi cacciatori di bug e esperto di sicurezza nel mondo.

Nell'intervista a Oneitsecurity, Charlie Miller ha dichiarato che tra i sistemi operativi commerciali Windows 7 o Snow Leopard "quello leggermente più difficile da hackerare è Windows 7, perché implementa la ASLR (address space layout randomization) e ha una “superficie” d’attacco più ristretta (per esempio, niente Java o Flash di default). Windows solitamente è più difficile perché ha completa ASLR e DEP (data execution prevention). Tuttavia recentemente, un talk alla Black Hat DC è stato mostrato come aggirare queste protezioni in un browser su Windows". 

E quando gli è stato chiesto perchè Linux non è un target di Pwn2Own, Miller ha detto che "Linux non è più difficile da hackerare, probabilmente è addirittura più semplice, sebbene questo dipenda da quale variante di Linux a cui ci si riferisce. Gli organizzatori del contest non scelgono Linux perché non ci sono abbastanza utenti che lo usino sui propri dekstop. L’altro motivo è che le vulnerabilità sono nei browser, nella maggior parte dei casi, gli stessi browser che girano su Linux, girano anche su Windows."

Via: ZD Net

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...