Due minuti per violare Mac OS X ? (aggiornato)

Due minuti per violare Mac OS X, questo è quanto è emerso nel corso
della conferenza CanSecWest di Vancouver in Canada sui problemi della
sicurezza informatica
. La notizia ha fatto rapidamente il giro del
mondo perchè ad essere così facilmente violato è stato il sistema
operativo che ha nella sicurezza e inviolabilità due delle proprie
caratteristiche principali. Al di là dei facili titoli ad effetto è
il caso di approfondire per capire bene cosa è successo e come si è
giunti a tale risultato …



Spieghiamo intanto che nel corso della conferenza viene abitualmente
indetto un concorso per mettere alla prova vari sistemi operativi.
L'organizzazione mette a disposiizone alcune macchine per verificare se
e quanto resistono a vari tipi di attacchi, sia remoti che locali. Chi
riesce nell'impresa di scardinare la sicurezza del sistema operativo
della macchina in questione vince un premio di 10.000$ e la macchina
stessa.

Quest'anno le macchine erano:
– Fujitsu U810 con Windows Vista Ultimate SP1
– MacBook Air con Mac OS X 10.5.2 Leopard
– Sony Vaio VGN-TZ37CN con Linux Ubuntu 7.10

Nel primo giorno del concorso non è possibile accedere fisicamente alle
macchine, gli attacchi sono quindi effettuabili solo da remoto, e tutti
e tre i computer hanno resistito ai tentativi dei concorrenti. Nel
secondo giorno viene consentito l'accesso fisico alla macchina, ed è a
questo punto che Charlie Miller, uno dei concorrenti, ha violato Mac OS
X in soli due minuti.

Come ci è riuscito ?

Charlie Miller ha sfruttato Safari, o meglio una sua falla nella
sicurezza. Questa falla necessita di un sito web preparato ad hoc con
codice malevolo. L'accesso a quel sito tramite Safari ha permesso al
concorrente di prendere il controllo della macchina.

La falla non è stata resa pubblica ed è stata comunicata ad Apple, che
solitamente è molto rapida nel far uscitre aggiornamenti ad hoc per
chiudere la strada ai malintenzionati. In realtà è quanto accade ogni
qual volta viene rilasciato un aggiornamento sicurezza, qualcuno si
accorge del problema e si corre ai ripari. Il fatto che questa volta il
fatto sia emerso nel corso di un evento pubblico ha enormemente
amplificato la questione, che di fatto non costituisce preoccupazione
per l'utenza.

Aggiornamento …

Questa mattina Macity riporta ulteriori dettagli sulla vicenda, si tratta di informazioni molto importanti per valutare correttamente la realtà delle cose …

A concorso concluso l'unica macchina che ha resistito è stato il PC con installato LInux Ubuntu, ma da sottolineare che questo è stato possibile perchè coloro che hanno scoperto falle comunque presenti non hanno dato la propria disponibilità per la scrittura del codice che avrebbe permesso di sfruttarle.

Windows Vista ha resistito più del previsto, ma a quanto pare i concorrenti non erano pronti a lavorare sulla versione di Vista con SP1.

Al contrario l'attacco a Mac OS X è stato programmato con molta attenzione, probabilmente perchè oltre al premio in denaro faceva gola la possibilità di portarsi a casa un MacBook Air. Un team sarebbe stato al lavoro per diversi giorni al fine di trovare potenziali incrinature nella sicurezza da sfruttare nel corso dell'evento. E' tra l'altro emerso che la vulnerabilità riguarderebbe Flash, non è pertanto Apple a dover correre ai ripari, quanto gli ingegneri di Adobe che, si dice, sarebbero già al lavoro.


 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *