|
Solo uno può rimanere in vita e in questo caso è stato il browser principale di Google. iPhone, Safari, Explorer e anche l'affermato Firefox sono caduti senza problemi nelle mani dei migliori hacker del mondo che si incontrano ogni anno in Canada per cercare di distruggere i sistemi più famosi del momento e segnalare le loro falle di sicurezza. Tuttavia, non sono stati in grado di violare la dura modalità "sandbox" che protegge Chrome, un colosso che ha resistito agli attacchi dei migliori esperti di computer del pianeta. |
Il concorso annuale Pwn2Own alla fiera della sicurezza CanSecWest di Vancouver offre l'ambiente perfetto per i migliori esperti di sicurezza IT del mondo per impegnarsi a pieno ritmo contro tutti i tipi di gadget e software caldi. Anno dopo anno riescono ad aggirare gli ostacoli alla sicurezza che i sistemi in esame cercano di imporre, ma solo pochi hanno l'onore di arrivare alla fine del concorso senza un singolo fallimento.
Il primo a cadere è stato l'iPhone di successo di Apple, Vincenzo Iozzo e Ralf Philipp Weinmann hanno impiegato solo 20 secondi per prendere in giro il dispositivo più popolare del momento. Gli hacker hanno fatto entrare solo l'iPhone (senza jailbreak) in un sito precedentemente sviluppato da loro, da dove hanno copiato l'intero database degli SMS (anche quelli cancellati) sui loro server. Hanno affermato che, nonostante gli sforzi di Apple per prevenire queste lacune, "il modo in cui hanno implementato la firma del codice è troppo indulgente". Hanno vinto $ 15.000 per questa dimostrazione di intelligence e non appena la società Apple risolverà il bug di sicurezza, verranno visualizzati i dettagli dell'accesso.
Charlie Miller, Principal Security Analyst presso Independent Security Evaluators, è riuscito ad hackerare Safari su un MacBook Pro con Snow Leopard e senza accesso fisico, guadagnando $ 10,000. Questo vecchio cane da eventi riesce a rompere un dispositivo di proprietà di Apple ogni anno. Sembra che abbia preso il polso del marchio. Non sarebbe male per la società assumerlo per vedere se una volta per tutte possono porre fine alle falle di sicurezza nei loro prodotti.
Il ricercatore indipendente sulla sicurezza Peter Vreugdenhil ha vinto la stessa cifra per l'hacking di Internet Explorer 8, che non sorprende più nessuno nel vedere un'edizione e anche l'altra, poiché viene colpito dagli attacchi di qualsiasi esperto che lo propone. Per hackerare IE8 Vreugdenhil ha affermato di aver sfruttato due vulnerabilità in un attacco in quattro parti che ha aggirato ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention), che sono progettati per aiutare a fermare gli attacchi nel browser. Come in altri tentativi, il sistema è stato compromesso quando il browser ha visitato un sito che ospitava codice dannoso. La sentenza gli ha dato i diritti sul computer, che ha dimostrato eseguendo il calcolatore della macchina.
Firefox ha anche dovuto piegarsi all'astuzia di Nils, capo della ricerca britannico per MWR InfoSecurity, che ha guadagnato $ 10,000 dalla vulnerabilità del browser che tiene a suo agio Microsoft. Nils ha detto di aver sfruttato una vulnerabilità di corruzione della memoria e ha anche dovuto superare ASLR e DEP grazie a un bug nell'implementazione di Mozilla.
E infine, l'unico che è rimasto in piedi è stato Chrome. Finora è l'unico browser che rimane imbattuto, qualcosa che aveva già ottenuto durante l'edizione 2009 di questo evento che si svolge in Canada e che cerca di mettere in guardia gli utenti sulle vulnerabilità dei programmi. "Ci sono difetti in Chrome, ma sono molto difficili da sfruttare. Hanno progettato un modello "sandbox", che è molto difficile da rompere ", ha detto Charlie Miller, il famoso hacker, che in questa edizione è riuscito a prendere il controllo di Safari su un Macbook Pro.
fonte: Neoteo e Segu-Info e ZDNET