Nuovo anno e rinnovato appuntamento col Pwn2Own, evento che ogni volta richiama i più abili hacker del mondo per mettere alla prova le loro capacità con software e hardware dei maggiori produttori, tra i quali ovviamente anche Apple. Proprio la casa di Cupertino ha visto cadere per primo il browser Safari su un MacBook Pro dotato di Mac OS X Snow Leopard a 64-bit.
VUPEN, questo il nome del team che è riuscito a bucare safari, ha sfruttato una vulnerabilità del browser attraverso un sito malevolo, riuscendo così a lanciare la calcolatrice sulla macchina presa in considerazione per il test. Secondo quanto riportato da ZDnet sarebbero bastate sole due settimane per scrivere uno script in grado di bucare il Mac.
Chaouki Bekrar (il tizio qui accanto) e la sua squadra hanno così vinto 15.000$ di premio più un MacBook Air 13″ con Snow Leopard: a ogni modo secondo Bekrar sarebbe stato piuttosto difficile riuscire nell’impresa, vista la quasi totale mancanza di documentazione riguardante gli exploit su piattaforma Mac OS X a 64-bit. Impedimento che però non ha fermato i membri di VUPEN, che hanno così deciso di fare tutto da zero, o quasi, riuscendo così a portare a casa il ricco bottino.
Via | Neowin
Seguici
melablog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Melablog.it contattare la concessionaria esclusiva Populis Engage.
iltiziocaio
10 mar 2011 - 15:04 - #1ohohohoh
mmarsella
10 mar 2011 - 15:09 - #2Leggete bene la notizia… Safari è caduto per primo perché è stato il primo ad essere sottoposto ad attacco. Chrome non è stato posto sotto attacco perché chi doveva farlo non si è presentato. IE8 è caduto anche lui senza problemi. Non c’è da meravigliarsi più di tanto. Questi hacker sono professionisti che entrano quando vogliono nei siti delle banche o dei governi. Figuriamoci quanto ci mettono ad entrare nel mio Mac…
iltiziocaio
10 mar 2011 - 15:11 - #3i gruppi che stanno dietro alla realizzazione di virus esclusivamente su piattaforma windows, dovrebbero capire che ormai di mac ce ne sono in giro qualche migliaio in più, a livello globale è meno del 10%, però visti tutti i fanboy che cliccano a caso senza ragionare dicendo: mac non ha virus, ha ha… sarebbe una strage =) dovrebbero pensarci seriamente =)
masuzzo
10 mar 2011 - 15:21 - #4Spero che dopo il ricco premio pagato vengano anche presi provvedimenti sulle vulnerabilità… Non dovrebbero servire anche per questo eventi di questo tipo?
aaallo
10 mar 2011 - 15:22 - #5calcolatrice… io avrei lanciato qualcosa di più pesante per far cadere il macbook pro.
masuzzo
10 mar 2011 - 15:26 - #6@aaallo: Direttamente il MacBook Pro… XD… Magari fuori dalla finestra… XD
Felix94
10 mar 2011 - 15:35 - #7@masuzzo LOL forse è meglio cambiare safari con chrome o firefox che dite?
Gurzo83
10 mar 2011 - 15:36 - #8@masuzzo
si ovvio chi ha scovato le falle le riporta ai diretti interessati, che hanno 6 mesi di tempo per porvi rimedio prima che il tutto venga rilasciato pubblicamente
diegoiphone
10 mar 2011 - 15:36 - #9Stupidaggini per fare spettacolo!!!!
In tre anni e oltre che utilizzo il MacBook, naturalmente senza antivirus, non ho mai avuto un singolo problema!!!!
Naturalmente visito qualsiasi sito pericoloso, scarico qualsiasi Applicazione di terze parti, apro allegati pericolosi, clicco sui link presenti nelle mail di Spam!!!
Su Windows utilizzavo Firefox, certamente migliore e più sicuro di IE, ora Safari mi garantisce una grande Tranquillità!!!!
Per chi non lo sa, i virus sono una cosa, un attacco mirato di un Hacker è un altra!!!!!!!
Per Mac pare ci siano circa 50 virus in circolazione, beccarsene uno è difficile per questo!!!
Gurzo83
10 mar 2011 - 15:50 - #10@diegoiphone
io faccio la stessa cosa su win è non ho mai avuto problemi…
guarda che il vero pericolo ormai non sono i virus…ma il resto del malware e attacchi mirati atti a creare botnet e altre cosucce…
se safari è così sicuro e macosx pure…come mai in giro c’è anche una botnet su mac?
continuate a smenarla con i virus ;)
Gurzo83
10 mar 2011 - 15:53 - #11la cosa bella che quando ho preso il mac, manco il firewall era attivo di default…ok che è una chiavica di firewall…ma ostentare in questa maniera cotata falsa sicurezza mi pare eccessivo
@diegoiphone
ah diemnticavo, secondo te come fa il malware a colpire un pc/mac a parte il 99% dei casi quando il colpevole è l’utente? :)
Anticittadino
10 mar 2011 - 15:55 - #12@diegoiphone: piccola precisazione… si è decisamente attenuata l’era del virus che ti pianta il pc o ti distrugge i dati. Attualmente quando ti becchi un malware serio, il bello è che non te ne accorgi mica tanto subito. Anzi è un buon malware quando tende a fregarti dati o a renderti parte di una botnet magari per instradare spam ecc… senza che tu te ne accorga per più tempo possibile.
Fossi in te eviterei comunque di cliccare su link pericolosi… non si sa mai. Murphy docet ;)
misonofattobarbaralogan
10 mar 2011 - 15:56 - #13iltiziocaio
anche se i Mac aumentassero a dismisura ci sarebbero comunque meno problemi che su windows. UNIX. e ho detto tutto, per il resto leggiti questo articolo e torna nell’angolo.
h**p://www.th eap plel ounge.com/sof tware/os-x/i-virus-su-mac-non-arriveranno-con-laumento-del-market-share/
mmarsella ha detto quel che c’era da dire :)
come mai a queste conferenze il premio è sempre un Mac e mai un PC winzoz? :D
misonofattobarbaralogan
10 mar 2011 - 15:58 - #14gurzo
io quando ho preso il mac il firewall era attivo.
blackibiza84
10 mar 2011 - 16:11 - #15@ #2
Chrome è ancora inaffondabile, grazie alla sandbox. Di certo, la sempre maggiore diffusione di sistemi Apple porta ad un accanimento anche verso tale piattaforma…pertanto, nessun sistema è sicuro, a meno che non venga scollegato dall’alimentazione elettrica.
iltiziocaio
10 mar 2011 - 16:12 - #16http://daily.wired.it/news/tech/snow-leopard-non-e-sicuro-quanto-windows-7.html
blackibiza84
10 mar 2011 - 16:15 - #17e poi leggete bene: 5 secondi per bucare Safari…al pari di IE8 http://www.spider-mac.com/2011/03/10/safari-violato-in-cinque-secondi-al-pwn2own-2011/
masuzzo
10 mar 2011 - 16:18 - #18@Felix94: Io sul mac utilizzavo chrome fin quando non me l’ha bloccato ben due volte di fila nello spazio di due minuti… Non è proprio ottimizzato al massimo… Certo ora non saprei, ma con safari non ho mai avuto problemi…
Concordo cmq con chi dice che il vero problema è la disinformazione dell’utente che naviga in internet… Oramai (a meno di casi estremi) è l’utente a dover dare il permesso ai virus ad entrare nel sistema… Correggetemi pure se sbaglio… XD
iltiziocaio
10 mar 2011 - 16:26 - #19rotfl, mi ero perso l’intervento di diegoiphone… io faccio questo, clicco sulle cose pericolose, scarico software a caso… bene, i presupposti per la caduta ci sono tutti visto che 9 utenti su 10 sono come questo “genio” … =) c’è solo da pazientare
GIGIOS
10 mar 2011 - 16:30 - #20Col mac mai avuto problemi, windows era sempre infettato da qualcosa, per non parlare di antivirus che rallentavano tutto. Questa è la mia esperienza. Amen
deus2
10 mar 2011 - 16:33 - #21“io uso il mac e lo pago il triplo perchè è sicuro, non come windows che è un colabrodo… hey, avete aggiornato l’antivirus ed attivato il firewall prima di postare i vostri commenti da winuser?”
…
…
mi chiedono perchè continuo a leggere questo blog… ma è una domanda da fare? meglio di zelig.
lo stradino spazzino
10 mar 2011 - 16:35 - #22io uso mac da quando sono nato, e cikechak no si è mai bloccato….
iltiziocaio
10 mar 2011 - 16:40 - #23@22, firewall non sanno neanche cos’è, l’antivirus non c’è bisogno che lo aggiornino, ma che lo installino… Loro neanche lo installano, quindi che pretendi? Ormai ci sono ottimi prodotti leggerissimi che garantiscono una sicurezza elevatissima ( antivir di Avira imho il migliore ) gratuiti.. Ma fan troppa fatica.. Poi ovviamente il loro punta e clicca è scollegato dal cervello, quindi..
GMJ
10 mar 2011 - 16:54 - #24Secondo me il metodo più geniale di tutti è quello di Zuckerberg. Appena uno riesce a entrare nella sicurezza di facebook lo assume. Se non è un genio..
iltiziocaio
10 mar 2011 - 16:57 - #25@25 è leggermente diversa la cosa però l’idea non è malvagia, microsoft con geohot aveva iniziato in quel senso, poi visto il processore non so come sia finita.
verrobannatopresto
10 mar 2011 - 17:34 - #26Safari è caduto in 5 secondi perchè il team responsabile per cercare di vincere il premio ci stava lavorando da 2 settimane. 1 falla trovata in Safari, che verrà “tappata” presto da Apple ovviamente.
Tutti i browser cadranno oggi al Pwn2Own, ci sono hacker professionisti, mica solo Safari.
Tra l’altro, una falla finora in Safari. In IE8 ne sono state trovate finora più di 200.
DUECENTO.
misonofattobarbaralogan
10 mar 2011 - 17:56 - #27deus
appunto vattene :)
misonofattobarbaralogan
10 mar 2011 - 17:56 - #28Tutti i browser cadranno oggi al Pwn2Own, ci sono hacker professionisti, mica solo Safari.
Tra l’altro, una falla finora in Safari. In IE8 ne sono state trovate finora più di 200.
DUECENTO.
non dirlo allo smanettone modaiolo tiziocaio :D
Alexmac
10 mar 2011 - 18:05 - #29Iltizoocaio: bentornato cattelan :-/
manang
10 mar 2011 - 18:25 - #30credo che tutti non hanno capito il vero problema.
quelli entrano nel mio pc, ci installano qualche cosa e usano il mio pc come botnet…
di dati sensibili nessuno ne ha, in genere…
dave1977
10 mar 2011 - 18:29 - #31Avira??? Software antivirus gratuiti??? Ma tu sei pazzo se credi che sono efficienti come quelli a pagamento!!! Tieniti pure sti software che fanno rallentare il sistema! Mi tengo il mio macbook pro 2008 con SL e vivo felice! Winzozz no lo voglio neanche se me lo regalano! Mi sono rotto di fare lo smanettone!
modstorino
10 mar 2011 - 19:21 - #32Questo contest prevede che chi buca un mac vince un mac, chi buca Windows vince un notebook con Windows ecc.. Ci credo che si sono buttati sul mac… Il premio era più appetibile ;-)
bluebilia
10 mar 2011 - 19:28 - #33“5 secondi per bucare Safari…al pari di IE8″ Guarda che questi hacker lavoravano su questi bug da un mese, 5 minuti è il tempo materiale di metterlo in atto. Comunque il bug è nel WebKit che è alla base non solo di Safari.
ilmargarit
10 mar 2011 - 20:26 - #34In 5 anni che uso il Mac non ho mai avuto problemi di sicurezza, virus e varie. Nemmeno in 12 anni di utilizzo di windows ho mai avuto Virus, solo fastidi nell’utilizzo generale del sistema, che non gradisco molto. E negli ultimi quattro anni, causa l’abitudine dopo aver utilizzato il Mac Non ho installato antivirus nemmeno su Windows. Trovo che entrambi i sitemi possano essere bucati se ci si metta d’impegno e a patto che dall’altra parte ci sia un utente sempre pronto a cliccare al prossimo popup che lo avverte che sul proprio PC c’è un Virus, pur non avendo un antivirus.
Io riesco ad essere produttivo con entrambi i sistemi. Sarò un utente più smaliziato e maturo? probabilmente. Prediligo l’utilizzo e l’acquisto di Mac soprattutto per OS X. Ma Windows XP sicuramente non mi fa schifo. Mi fa schifo vedere come viene conciato dalla stragrande maggioranza di utenti. Ma fidatevi, quando ho visto come avevano conciato un Mac Mini dei miei amici che non sanno nemmeno passare da una pagina all’altra in Word (Non lo sanno fare su nessuno dei due sistemi - avevo pensato di consigliargli Mac per la semplicità ma è stato peggio) stavo per mettermi a urlare e sopprimerli. Dalla mia breve esperienza con i PC, i Mac e le varie distro Linux posso assicurare che il peggior nemico dei computer era e resta l’Utente.
Ovviamente parlo da profano. Non sono un tecnico. Sono uno studente di Filosofia appassionato di Informatica e un grafico freelance. Adesso smettiamola di accapigliarci dopotutto non credo che qualcuno di noi sia parente di Jobs o abbia qualche azione di Apple, Microsoft o altri. Quindi, take it easy.
forklo
10 mar 2011 - 20:42 - #35Tutti gli anni è sempre la stessa storia, il mac e safari sono i primi a essere violati.
Poi i dati reali evidenziano l’esatto contrario.
MacMickey
10 mar 2011 - 20:51 - #36ma è una presa in giro?
gli hacker hanno vinto dei soldi e un MAC!!!
non un HP (litiziocaro…)
Gurzo83
10 mar 2011 - 21:04 - #37@MacMickey
si non hanno vinto un hp…ma un sony vaio per chi ha bucato ie8 ;)
Gurzo83
10 mar 2011 - 21:06 - #38@forklo
ovvio non se l ifila nessuno col 5% del mercato…finchè resta di nicchia può sperare nella sua pseudo sicurezza
Tandua
10 mar 2011 - 21:33 - #39Anche io sarei riuscito a forare safari…e con meno preparazione..mi bastava un bel trapano
dave1977
10 mar 2011 - 21:47 - #40Intervistato da ZDnet, Chaouki Bekrar (co-donatore di VUPEN), ha fatto sapere che la vulnerabilità è parte del WebKit, il rendering engine open source per browser (usato non solo da Safari, ma anche da Chrome). Il team ha lavorato due settimane per individuare la vulnerabilità e trovare il metodo per attaccare il sistema. “E’ stato difficile. Abbiamo dovuto creare dei tool di debugging, realizzare lo shellcode e sfruttare tecniche di ROP (return oriented programming)”.
misonofattobarbaralogan
11 mar 2011 - 01:43 - #41tizio caio nerd modaiolo :)
thecreator
11 mar 2011 - 02:10 - #42Una cosa è bucare Safari, un’altra MAC OSX. Se volete fare sogni tranquilli fate come ho fatto io sul mio SL 10.6.6. Installate Kaspersky for Mac 2010 e state tranquilli. Io Kaspersky lo uso dal 2008 sia su Win ed ora anche su Mac. Mai avuto problemi. Certo su Win parecchie volte mi segnalava virus e malware su mac non mi è mai successo. Comunque credo che già così state apposto. Inoltre premetto che se un Hacker professionista vuole entrare su una macchina (win, mac, Linux ecc…) se è in gamba entra comunque. Ma alla fine nei nostri Mac, Win ecc.. quali dati segreti possiamo mai avere? alla fine se uno mi entra sul mio mac cosa mi copia? NULLA. non ho un dato sensibile sul HD del mac è tutto su HD esterni. Mi dovrebbe beccare mentre li ho collegati al mac e mentre sono su internet, mi sebra già molto improbabile. E anche qui cosa legge? musica? video? i dati sensibili come carte di credito e bancomat li ho cryptati con cryptor e con codifica AES 256bit. Insomma la cosa non mi sembra tanto facile. Fate sogni tranquilli mac user buona notte ;-)
owned
11 mar 2011 - 09:38 - #43Qui l’ignoranza regna sovrana
cerri
11 mar 2011 - 09:47 - #44Nessun sistema è invulnerabile, e quindi Mac OS non fa certo eccezione.
Ma questo non vuol dire che sia facile da bucare.
Il team in questione ci ha impiegato 2 settimane (e non 5 secondi) per scovare la falla di Safari, anzi di Webkit (che è opensource, tra l’alto), e 5 secondi per utilizzare un sito malevolo già preparato.
Voglio dire, se hanno avuto 2 settimane di tempo per preparare il tutto, mi pare ovvio che poi ci vogliono 5 secondi!
E’ come dire che preparare un disegno di Autocad ci sono voluti 5 secondi, quando in realtà si è impiegato 2 settimane per farlo e 5 secondi per aprilo…
Infine, ha lanciato la calcolatrice LATO UTENTE, quindi significa che il sistema NON è stato compromesso.
Senza assolutamente nulla togliere al team in questione - anzi, sono dettagli importanti, comunque, da notare…
cerri
11 mar 2011 - 09:55 - #45E anche Internet Explorer ha fatto lo stesso, essendo stato bucato con 3 vulnerabilità:
http://www.zdnet.com/blog/security/pwn2own-2011-ie8-on-windows-7-hijacked-with-3-vulnerabilities/8367
Quindi è chiaro che nessun sistema è immune per gente ben motivata :-)
Poi, Chrome è sicurissimo? Certo se chi doveva violarlo non si presenta… Magari rimane il browser più sicuro, ma fino adesso non è stato provato.
http://www.pcworld.it/notizie/2011/03/10/chrome-resiste-agli-attacchi-del-pwn2own/
Gurzo83
11 mar 2011 - 15:48 - #46@cerri
e infatti macosx è stato bucato attraverso il suo browser ;)
e in meno tempo rispetto alla controparte win+ie( ci hanno messo più di un mese per trovare il modo di bucare il tutto)
Gurzo83
11 mar 2011 - 15:51 - #47gurda che oltre alla calcolatrice hanno anche scritto su disco, non ci vuole poi molto a bypassare i diritti di root una volta preso il controllo della macchina ;)
thecreator
11 mar 2011 - 16:45 - #48@owned e Gurzo 83
Scusate quale è il vostro problema? Se leggete bene quello che ho scritto, ho detto: “Inoltre premetto che se un Hacker professionista vuole entrare su una macchina (win, mac, Linux ecc…) se è in gamba entra comunque.” quindi? Non ho detto che OSX sia perfetto sia chiaro. Ma non mi sembra il caso di allarmarsi più di tanto. Perchè pensate che Win7 sia tanto più sicuro? dubito fortemente. Se vogliono gli hacker entrano anche nei server della NSA o delle banche, quindi? dobbiamo aver paura ad usare win mac o linux? Io non mi preoccupo tutto qua. Ovvio che tutti i produttori di S.O. o software dovrebbero sempre non sotto valutare questi problemi e rilasciare sempre software più sicuro. Da Apple a google. Poi Gurzo83 se vuoi tenerti il tuo win e il tuo ie fallo pure. Io mi tengo il mio MacOSX e il mio safari insieme a Chrome.
rogerdodger
11 mar 2011 - 16:48 - #49scusate ma questa è la dimostrazione più lampante di come a gente come Gurzo and co. interessi averlo informaticamente più lungo. E quello è caduto prima, e quello dopo, e quello in meno secondo, e via dicendo…Ma e quindi?
La sicurezza si vede nel complesso, non nelle singole falle che ci saranno sempre, anche tra un anno, su iPhone, Safari, IE, Opera, Android e tutto quello che volete. La cosa importante è che poi un utente si trovi bene con l’OS o con quello che usa e abbia un buon livello di sicurezza.
Nessuno ha mai detto, e lo ripeto se ce ne fosse bisogno, che iPhone o OS X o iOS o Safari siano invulnerabili. Non esiste nulla di invulnerabile al mondo, ora come tra cent’anni, e questi contest fanno giusto bene perchè permettono al prodotto di migliorare, andando a riparare gli errori di codice o le possibili falle.
Ma tutti questi discorsi che state facendo sono cose che restano confinate in questa colonna, perchè alla fine della giornata io il mio iPhone 3G e domani il cinque piuttosto che un dispositivo android o altro, li userò con soddisfazione e credo che sia infantile andare a prendere casi limite per dire: “oh mi sento più fiko perché hanno trovato una falla in iOS e io c’ho android”.
Quindi se poi domani trovano una falla android io dovrei andare su un blog android e scrivere “gnegnegne”? Io direi che molta gente qua deve crescere, fare meno la smanettona e uscire e farsi una bella passeggiata in un parco, come sto facendo io. Poi va beh..parchi come quelli che ci sono qua là ve li sognate, però un tentativo fatelo :P
cerri
11 mar 2011 - 17:56 - #50@gurzo83 ottenere l’accesso root solo perché è stata lanciata la calcolatrice (o una qualsiasi app) mi sembra un’eufemia. La scrittura su disco è solo una prova dell’exploit, ma una volta lanciata la calcolatrice non ci vuole niente a scrivere un file, pur sempre nella home dell’utente (ossia con i privilegi dell’utente che ha lanciato Safari).
Se si potesse scrivere il software perfetto, non esisterebbero questi contest.
Inoltre, ho solo voluto specificare che l’exploit non ha richiesto 5 secondi per essere trovato, ma 5 secondi per essere eseguito, e non ho fatto nessun confronto: ho solo detto che pure IE è caduto (ovvio) e che Chrome è “più sicuro” solo perché il team che doveva gareggiare non si è presentato.
Tutto qui.