di  -  mercoledì 16 marzo 2011

Puntuale come un orologio svizzero, anche quest’anno si rinnova l’appuntamento con l’attesissimo Pwn2own, la nota manifestazione che si svolge nei pressi di Vancouver, durante la quale gli hacker più validi sfidano i colossi informatici, ed i lori gioiellini fabbrica-soldi, a colpi di exploit e falle.

Scopo della manifestazione, organizzata e finanziata dall’azienda TippingPoint, è quella di bucare il browser o lo smartphone di turno e portarsi a casa sia il dispositivo che ben 15 mila dollari di premio. I partecipanti sono tenuti a rivelare con la massima precisione i dettagli delle falle sfruttate all’azienda organizzatrice, la quale poi venderà queste informazioni ai colossi interessati, i quali saranno ben lieti di pagare e risolvere il problema prima che dilaghi il panico e la sfiducia verso il loro prodotto.

Anche l’edizione di quest’anno ha rivelato come i sistemi più diffusi siano vulnerabili, e pare che solo i prodotti della grande famiglia Google siano inattaccabili. Analizziamo ora più nel dettaglio i sistemi interessati, le falle e le soluzioni. I primi a cadere sotto il fuoco dei ricercatori sono stati Internet Explorer 8 e Safari 5.0.3, i quali come già accaduto negli anni scorsi non hanno saputo reggere che per pochi attimi.

Safari è caduto dopo solo cinque secondi per mano dell’azienda francese Vupen Security, la quale ha prodotto una pagina web particolare che fatta visitare al browser, le ha permesso di scalare i privilegi della macchina sulla quale è stato condotto il test, cioè un Mac OS X 10.6.6 (Snow Leopard), e di lanciare arbitrariamente un eseguibile, nel caso specifico l’applicazione Calcolatrice, e di scrivere un file di testo sul disco fisso. Per regolamento, i dettagli tecnici non vengono resi disponibili pubblicamente, e l’azienda interessata dall’hack, in questo caso Apple, ha 6 mesi di tempo per applicare una patch prima che le procedure vengano rese note pubblicamente.

Al momento è disponibile una versione aggiornata di Safari, la 5.0.4, ma Vupen Security ha fatto sapere che il loro exploit funziona anche con questa nuova versione, che però non ha potuto partecipare in quanto è stata rilasciata troppo a ridosso dell’inizio della gara. IE8 è invece caduto per mano di Stephen Fewer, il quale sempre per mezzo di una pagina web appositamente creata, è riuscito a bucare i sistemi di protezione sfruttando ben tre diverse falle.

Con le prime due è riuscito ad eseguire codice all’interno del processo del browser, mentre con la terza è riuscito ad uscire dalla sandbox di IE8 e di raggiungere quindi il file system del sistemo operativo, un Sony Vaio con Windows 7 a 64bit. Microsoft ha però subito tenuto a precisare che Internet Explorer 9 è immune da questo exploit, e che presto inizierà a lavorare ad una patch correttiva per la versione 8 del loro browser. Anche in questo caso, IE9 non ha potuto partecipare in quanto sono ammessi solamente prodotti commercialmente in versione stabile, mentre come ben sappiamo IE9 era ancora in versione RC (Release Candidate) quando si è svolta la manifestazione.

Molto meglio è andata invece agli altri due big del browsing: Firefox e Chrome. Per il primo, presente nella versione 3.6, si era inizialmente presentato Sam Dash che però all’ultimo si è tirato indietro in quanto il suo hack non risultava sufficientemente efficace. Nessun’altro si è fatto avanti, e nonostante l’anno scorso il browser di Mozilla  fosse stato bucato con una certa facilità, quest’anno vuoi per il buon lavoro svolto dalla comunità, vuoi per la perdita di popolarità della piattaforma, non sono stati rilevati exploit degni di nota.

Per Chrome invece, erano stati annunciati due possibili problemi di sicurezza, ma pare che i provvidenziali aggiornamenti sia alla versione 9 che alla 10 di queste ultime due settimane abbiano scoraggiato i ricercatori, con il risultato che uno non si è presentato mentre l’altro ha dichiarato che i suoi exploit non avrebbero funzionato con la versione in gara: anche quest’anno il prodotto di Google rimane intonso, dimostrando una sicurezza ineguagliabile. C’è chi maliziosamente vede nei recenti aggiornamenti del browser un palese tentativo di mettere una pezza alle falle scoperte, i cui dettagli sarebbero stati profumatamente comprati da BigG per non sfigurare ad un evento così importante quale è il Pwn2own.

Quale sia la verità non si saprà mai, rimane solo il dato di fatto di come Chrome paia essere il browser più veloce e sicuro in circolazione, e di come sia riuscito in un paio di anni ad imporsi in un mercato così densamente popolato e difficile. Per dovere di cronaca segnaliamo come anche quest’anno per Opera non si sia presentato nessuno, probabilmente perché il market share non è sufficientemente elevato da “meritare” mesi di studio alla ricerca di falle, anche se soprattutto nel mondo mobile la sua diffusione è sicuramente più che degna di nota.

Un nuovo giorno prende vita a Vancouver, e dopo che i browser sono tornati a casa, chi a pezzi e chi no, è il turno degli smartphone, oggetto sempre più diffuso e di culto nella nostra società. I concorrenti in gara sono sempre Apple, Microsoft e Google, stavolta con l’aggiunta di RIM. Ed è proprio il BlackBerry Torch 9800 (la versione del sistema operativo era la 6.0.0.246) la prima vittima della giornata, caduto nella mani di un trio capitanato dal nostro connazionale Vincenzo Iozzo.

L’attacco è sempre il solito, cioè quello di una pagina web costruita ad hoc e fatta visitare al browser del dispositivo. La procedura sfrutta una falla nel famoso motore di rendering WebKit (cosa che ha allarmato molto anche Google visto che lo usa per Chrome, la quale ha subito provveduto ad isolare la falla ed ha ricompensato il trio con circa 1300 dollari!!), ed ha permesso di sottrarre informazioni personali quali la rubrica dei contatti e le immagini memorizzate sul telefono, nonché di scrivere sul file system del dispositivo.

C’è stato grande clamore per questo exploit per due motivi: il primo, è che non esiste alcuna documentazione tecnica sul dispositivo, e quindi i 3 ricercatori si sono muniti di un semplice debugger, strumento vitale per noi programmatori, attraverso il quale sono riusciti passo passo a costruire la loro procedura. Il secondo motivo è che RIM non ha protetto il suo OS né con la DEP (Data Execution Prevention)  né con l’ASLR (Address Space Layout Randomiziation), due tecniche di sicurezza molto diffuse e molto importanti.

Nel dettaglio, la DEP è una tecnica che non permette al codice di essere eseguito al di fuori di un’area di memoria appositamente allocata per farlo, come ad esempio un’area dove risiede il contenuto di un array. Senza la DEP infatti, si era parecchio esposti al classico buffer overflow, dove cioè del codice “maligno” veniva eseguito come conseguenza di uno sforamento nella quantità di dati gestibili da una delle tante variabili normalmente presenti in un programma, condizione che portava alla sovrascrittura di altre aree di memoria con conseguenti crash o nei casi peggiori con la possibilità di prendere il controllo sia del programma in esecuzione che della macchina.

La DEP quindi, evita che del codice possa essere eseguito in una delle aree sovrascritte durante un buffer overflow, ed è davvero molto importante vista la popolarità di questo tipo di attacco. L’ASLR invece, è una tecnica che permette di caricare in memoria programmi e dll in aree casuali delle memoria, rendendo molto difficoltoso per un hacker eseguire codice malevolo sfruttando vulnerabilità nella gestione degli oggetti di programmazione, in quanto egli non saprà con sicurezza a quale indirizzo si trova, ad esempio, l’array da mandare in overflow.

Benché queste tecniche siano molto efficaci e presenti nei sistemi operativi moderni, abbiamo visto come esse in molti casi possano essere aggirati, permettendo agli exploit esposti fin qui di agire comunque indisturbati. Incassato il colpo, RIM ha ammesso di essere indietro sul piano della sicurezza rispetto agli altri smartphone, e che in futuro si preoccuperà di recuperare il terreno perso. Come ogni anno poi, è stata la volta del mitico Charlie Miller, personaggio molto famoso nella comunità, che anche quest’anno è riuscito ad abbattere l’iPhone di turno, ossia il 4.

Sfruttando una vulnerabilità nella versione  mobile di Safari, è riuscito a prendere possesso dell’intera rubrica dei contatti, aggirando così tutte le policy di sicurezza proprie di iOS 4.2.1. Lo stesso Miller ha ammesso in seguito che il suo exploit non è più funzionante nell’ultima versione, non in gara, del sistema operativo Apple (la 4.3), proprio grazie all’implementazione in quest’ultima release della DEP e dell’ASLR! Benché la falla sia ancora presente, di fatto non è più possibile sfruttarla proprio per la difficoltà nel rintracciare le aree di memoria adatte.

A farla franca ancora una volta è stata Google con il suo Android, che proprio all’ultimo è riuscita a risolvere una grave vulnerabilità presente nel market delle App. L’exploit, proposto da Jon Oberheide, prevedeva infatti l’esecuzione di codice Javascript all’interno del campo di testo che descrive l’applicazione sul market! Un buco pazzesco, che permetteva l’installazione e l’esecuzione silente di un qualsiasi programma semplicemente visitando un link sul proprio smartphone.

La falla è stata però segnalata a Google da Oberheide stesso qualche tempo prima, e la soluzione è stata immediata in quanto è stato sufficiente applicare uno dei comunissimi filtri contro il noto XSS (cross site scripting, cioè l’esecuzione di codice Javascript in “caselle di testo” non protette) per risolvere il tutto. Android ne esce quindi pulito, anche se però bisogna ammettere che se Oberheide avesse tenuto la bocca chiusa la storia sarebbe stata diversa, nonostante la falla avesse più le sembianze di una svista che di una reale vulnerabilità.

Anche Microsoft con il suo nuovissimo Windows Phone 7 è scampato alla gogna, in quanto nessun ricercatore si è presentato per attaccare l’OS. A dire il vero, il ben noto, per altre questioni, George Hots (Geohot), aveva preparato qualcosa ma a causa delle beghe legali che lo hanno investito per il caso dell’hack della PS3 verso Sony, ha dovuto forzatamente rinunciare alla sua partecipazione. Inoltre WP7 è un sistema ancora troppo giovane e poco diffuso, ed è molto probabile che il prossimo anno non sarà così fortunato.

Questa dunque la situazione che si è delineata in questa edizione 2011, e come sempre c’è chi afferma che i risultati siano indice del livello di sicurezza della piattaforma e chi invece afferma che questi valori siano assolutamente non attendibili, in quanto dettati dal fatto che i ricercatori possono arbitrariamente scegliere di bucare un sistema piuttosto che un altro.

Come più volte affermato da Charlie Miller, tutti i sistemi e tutti i browser hanno molti bugs, la difficoltà sta nello sfruttarli anche in relazione all’OS: se prendiamo Firefox dice Miller, scopriamo che su Mac OS X è più facile da bucare che su Windows, perché quest’ultimo è un po’ più avanti nella prevenzione degli attacchi informatici. Chrome invece pare davvero essere inviolabile, grazie alla sua sandbox di “piombo” che non permette di eseguire codice al di fuori di essa, così come una gestione dello Heap a prova di eseguibili maligni.

Inoltre le varie iniziative, come quella che mette in palio denaro in cambio della scoperta di falle, permette a Google di essere sempre pronta ad intervenire e migliorare la sicurezza dei suoi prodotti, facendosi “amici” gli hacker. Apple esce sempre un po’ con le ossa rotta, a dimostrazione del fatto che più un sistema si diffonde e più la sua insicurezza aumenta proprio perché ci sono più “menti” che si adoperano per bucarlo. Microsoft come al solito fa sempre un ottimo lavoro sul piano della sicurezza, ma l’enorme bacino di utente dei suoi sistemi la espone sempre ad un numero elevato di attacchi, che puntualmente ogni anno vengono sfruttati per bucare i lori sistemi.

Il browser o l’OS sicuro ancora non esistono, e la corsa tra guardie e ladri continuerà per sempre, ma credo che le manifestazioni come il Pwn2own siano estremamente importanti per migliorare con l’aiuto degli hacker “bianchi” la situazione. Anche perché il trend è proprio quello di avere sempre convergenza verso il browser e verso gli smartphone, ragion per cui i colossi non devono mollare la presa, anche perché grosse fette di mercato si giocano proprio sul piano della sicurezza.

Non credo quindi che ci siano né vincitori né vinti, ma solamente consumatori da tutelare e proteggere, ma questo evento è un po’ come una manifestazione sportiva, con tanto di tifosi che parteggiano per l’una o l’altra squadra. E voi per chi tifate? Vi sentite al sicuro con il vostro browser?

21 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Filippo
     scrive: 

    “Anche in questo caso, IE9 non ha potuto partecipare in quanto sono ammessi solamente prodotti commercialmente in versione stabile, mentre come ben sappiamo IE9 è ancora in versione RC (Release Candidate).”

    IE9 è in versione RTM ed ufficialmente distribuito già dal 14 marzo, cioè due giorni prima della pubblicazione di questo articolo…

  • # 2
    Fabio Bonomo (Autore del post)
     scrive: 

    Grazie della precisazione, ma chiaramente la frase “IE9 è ancora in versione RC” è relativa alla data in cui si è svolto il Pwn2Own :-)

  • # 3
    Filippo
     scrive: 

    Rileggendo l’articolo avevo intuito che in realtà l’intenzione era quella, solamente in prima lettura il “come ben sappiamo” mi aveva fuorviato.

    Sorry
    Ciao
    Filippo

  • # 4
    Fabio Bonomo (Autore del post)
     scrive: 

    Ho corretto la frase, ora non lascia più dubbi :P

  • # 5
    Andrea R
     scrive: 

    Chrome è meno popolare di firefox eppure ruba il posto sul podio?
    Che modaioli dell’informatica…
    W Firefox ad oggi il miglior browser *libero*.

  • # 6
    FEDE
     scrive: 

    Dire che safari e ie8 hanno retto solo 5 minuti è fuorviante… meglio riportare il tempo che ci è voluto a sviluppare l’exploit… quindi 2/3 settimane per il browser di apple e 5/6 per quello microsoft, secondo quanto dichiarato dagli stessi autori.
    Così si ha un metro di giudizio per paragonare le protezioni dei browser…
    L’articolo sembra un pò una pubblicità per chrome, ma concordo sul fatto che sia il più sicuro.

  • # 7
    Gurzo2007
     scrive: 

    la sandbox di chrome è di piombo fino a un certo punto…se non avesse violato le regole e rilasciato un aggiornamento un giorno prima del contest…sarebbe caduto pure lui ;)

  • # 8
    Fabio Bonomo (Autore del post)
     scrive: 

    @FEDE: Quel che dici è corretto, ma volutamente non ho riportato i tempi per la realizzazione degli exploit perché non credo siano davvero un buon metro di paragone: Magari il team che ha violato Safari è più “bravo” di quello che ha violato IE8 o viceversa, quindi metterci più o meno tempo dipende dalle capacità del singolo team/persona piuttosto che dalla robustezza del browser… Io posso fare un software in un mese, un programmatore più bravo di me in 10 giorni: questo dato non ci dice quanto è realmente difficile il programma no?

    Io apprezzo molto Chrome, ma di certo l’articolo non è di carattere pubblicitario ci mancherebbe… come giustamente sottolinei, è innegabile che abbia molti pregi!

  • # 9
    Caterpillar
     scrive: 

    Peccato che abbiano deciso di escludere Opera a priori :(

  • # 10
    Daniele
     scrive: 

    Grazie tante, google s’è cambiata le regole ad hoc!

  • # 11
    Cesare Di Mauro
     scrive: 

    Vabbé, a Google piace vincere facile. :D

  • # 12
    Marco
     scrive: 

    Perdonatemi , ma sembra una cosa un po strana che google abbia aggiornato tutto in extremis per eveitare di essere bucato mentre sull’iphone 4 non è stato fatto l’aggiornamento al 4,3 che non lo avrebbe fatto cadere.

    Mi sebra profondamente scorretto

    O si aggirna tutto e si usa pure ie 9 o non si aggiorna nulla esempio

  • # 13
    Ansem
     scrive: 

    Comunque apple come sempre rimane simbolo della sicurezza :)

  • # 14
    alicella
     scrive: 

    “e di come sia riuscito in un paio di anni ad imporsi…”
    Imporsi? Non si è imposto su nulla, non ha ancora neanche lontanamente avvicinato le quote di mercato di Firefox e IE.
    Io non uso Chrome, per principio, non mi piace l’invadenza di Google, non voglio che si faccia i fatti miei. Uso Firefox e Iron. Chrome non viene gratis, si paga e salato con la propria privacy. Però per fortuna Chrome senza ficcanasoGoogle esiste, vivaddio c’è Iron!

  • # 15
    CountDown_0
     scrive: 

    Qualche osservazione:
    1) Per l’ennesima volta, non erano presenti né Opera né Linux. La scarsa diffusione non mi sembra un buon motivo: a parte che neanche Safari è così diffuso, ma vorrei sapere perché 2 anni fa c’era Chrome. Insomma, mi sembra che il criterio di scelta non sia così trasparente.
    2) Sul fatto che Google abbia barato, facendo uscire un aggiornamento di sicurezza fuori tempo massimo… E’ vero che l’aggiornamento è uscito, ma gli organizzatori hanno davvero permesso che venisse installato? Se così fosse sarebbero dei buffoni. Ma del resto, siamo sicuri che la falla in questione sia stata corretta con QUELL’aggiornamento, e non con quello precedente? E’ vero che ce n’è stato uno l’8 marzo, ma per esempio ce n’è stato uno il 28 febbraio…
    3) IE 9 non è stato ammesso perché era ancora in versione RC. Nessuno ricorda che 2 anni fa IE 8 è stato accettato in versione RC? Di nuovo: ma che regole usano? Sinceramente avrei preferito vedere alla prova IE 9 che IE 8…
    4) In quanto a Iron, alicella, sei sicuro che sia davvero quello che promette? Ti lascio un link: http://chromium.hybridsource.org/the-iron-scam da cui puoi trovare http://neugierig.org/software/chromium/notes/2009/12/iron.html
    (In sostanza, si afferma che Iron non fa niente di concreto, si limita a settare di default alcune opzioni; nel secondo link si riporta un pezzo di una sessione in chat, in cui l’autore di Iron spiega che lo fa perché vuole guadagnare con le inserzioni messe sul sito. In altre parole vende aria fritta per fare soldi! Non ho mai approfondito oltre, ma i sospetti mi sembrano leciti…)

  • # 16
    alicella
     scrive: 

    Ciao CountDown_0, ciò che dici è interessante. A me però sembra che ciò che riferisce il tipo a sfavore di Iron sia squisitamente denigratorio e comunque ne è passata di acqua sotto i ponti, si parla di Iron 4 e di 2008 e in ogni caso la pubblicità sul sito SRWare è praticamente assente (un banner ogni morte di papa!). Con questo non voglio dire che non possa esserci un fondo di verità ma l’esperienza quotidiana mi dice che le pubblicità “mirate” usando Iron crollano drasticamente di numero rispetto all’uso di IE o FF e ciò mi basta :) . Parlo di pubblicità mirate perchè sono il sintomo più tangibile del “ficcanasaggio” di qualcuno su ciò che faccio durante la navigazione. Se frequentando pagine che parlano che so, di giardinaggio e faccio click qua e là dopo poco tempo cominciano ad apparire pubblicità mirate con FF o IE, con Iron non avviene, non almeno con la frequenza con cui accade con gli altri browser.
    Buona navigazione con il nostro browser preferito, oggi posso preferire FF o Iron, domani magari Opera chissà, basta che soddisfi le proprie esigenze!

  • # 17
    Matteo
     scrive: 

    Ma il browser mobile di Android con quale versione è stato testato? Nexus S e con Gingerbread o altro?

    Perchè se fosse all’ultima versione bisogna ricordare, purtroppo per me e tutti gli utenti di Android, che solo una fetta molto ridotta di device ha la possibilità di avere accesso al browser che non è stato “bucato”…

  • # 18
    Gianlucassistenza
     scrive: 

    sul mio portatile ho installato tutti i browser più conosciuti da ie a opera passando per safari e mozilla firefox, ma nell’ultimo anno ho utilizzato moltissimo chrome. Devo dare un 10 pieno al browser di google ed ora giù con ie9 che ho già provato nella versione rc.
    work in progress

  • # 19
    Fabio Bonomo (Autore del post)
     scrive: 

    @Matteo: Per Android alla fine non si è presentato nessuno, quindi il test non è stato eseguito…

  • # 20
    Gurzo2007
     scrive: 

    @CountDown_0

    in risposta al quesito 2, semplice perchè proprio il tizio che si doveva presentare per bucare chrome e che non si è presentato, è proprio quello che ha scoperto la falla in questione( collaborava con goggle che lo ha pagato per la falla scovata) e che è stata tappata con l’ultimo aggiornamento dell’8 marzo, in tempo per fare bella figura ;)

    ps purtroppo quanto un contendente è anche sponsor del contest…diciamo che le regole sono sempre più morbide verso quest’ultimo

  • # 21
    laos
     scrive: 

    Scusate ma esiste un sito del Pwn2own?
    Giuro che ho cercato…

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.