Pwn2Own 2011: Vincitori e Vinti

Puntuale come un orologio svizzero, anche quest’anno si rinnova l’appuntamento con l’attesissimo Pwn2own, la nota manifestazione che si svolge nei pressi di Vancouver, durante la quale gli hacker più validi sfidano i colossi informatici, ed i lori gioiellini fabbrica-soldi, a colpi di exploit e falle.

Scopo della manifestazione, organizzata e finanziata dall’azienda TippingPoint, è quella di bucare il browser o lo smartphone di turno e portarsi a casa sia il dispositivo che ben 15 mila dollari di premio. I partecipanti sono tenuti a rivelare con la massima precisione i dettagli delle falle sfruttate all’azienda organizzatrice, la quale poi venderà queste informazioni ai colossi interessati, i quali saranno ben lieti di pagare e risolvere il problema prima che dilaghi il panico e la sfiducia verso il loro prodotto.

Anche l’edizione di quest’anno ha rivelato come i sistemi più diffusi siano vulnerabili, e pare che solo i prodotti della grande famiglia Google siano inattaccabili. Analizziamo ora più nel dettaglio i sistemi interessati, le falle e le soluzioni. I primi a cadere sotto il fuoco dei ricercatori sono stati Internet Explorer 8 e Safari 5.0.3, i quali come già accaduto negli anni scorsi non hanno saputo reggere che per pochi attimi.

Safari è caduto dopo solo cinque secondi per mano dell’azienda francese Vupen Security, la quale ha prodotto una pagina web particolare che fatta visitare al browser, le ha permesso di scalare i privilegi della macchina sulla quale è stato condotto il test, cioè un Mac OS X 10.6.6 (Snow Leopard), e di lanciare arbitrariamente un eseguibile, nel caso specifico l’applicazione Calcolatrice, e di scrivere un file di testo sul disco fisso. Per regolamento, i dettagli tecnici non vengono resi disponibili pubblicamente, e l’azienda interessata dall’hack, in questo caso Apple, ha 6 mesi di tempo per applicare una patch prima che le procedure vengano rese note pubblicamente.

Al momento è disponibile una versione aggiornata di Safari, la 5.0.4, ma Vupen Security ha fatto sapere che il loro exploit funziona anche con questa nuova versione, che però non ha potuto partecipare in quanto è stata rilasciata troppo a ridosso dell’inizio della gara. IE8 è invece caduto per mano di Stephen Fewer, il quale sempre per mezzo di una pagina web appositamente creata, è riuscito a bucare i sistemi di protezione sfruttando ben tre diverse falle.

Con le prime due è riuscito ad eseguire codice all’interno del processo del browser, mentre con la terza è riuscito ad uscire dalla sandbox di IE8 e di raggiungere quindi il file system del sistemo operativo, un Sony Vaio con Windows 7 a 64bit. Microsoft ha però subito tenuto a precisare che Internet Explorer 9 è immune da questo exploit, e che presto inizierà a lavorare ad una patch correttiva per la versione 8 del loro browser. Anche in questo caso, IE9 non ha potuto partecipare in quanto sono ammessi solamente prodotti commercialmente in versione stabile, mentre come ben sappiamo IE9 era ancora in versione RC (Release Candidate) quando si è svolta la manifestazione.

Molto meglio è andata invece agli altri due big del browsing: Firefox e Chrome. Per il primo, presente nella versione 3.6, si era inizialmente presentato Sam Dash che però all’ultimo si è tirato indietro in quanto il suo hack non risultava sufficientemente efficace. Nessun’altro si è fatto avanti, e nonostante l’anno scorso il browser di Mozilla  fosse stato bucato con una certa facilità, quest’anno vuoi per il buon lavoro svolto dalla comunità, vuoi per la perdita di popolarità della piattaforma, non sono stati rilevati exploit degni di nota.

Per Chrome invece, erano stati annunciati due possibili problemi di sicurezza, ma pare che i provvidenziali aggiornamenti sia alla versione 9 che alla 10 di queste ultime due settimane abbiano scoraggiato i ricercatori, con il risultato che uno non si è presentato mentre l’altro ha dichiarato che i suoi exploit non avrebbero funzionato con la versione in gara: anche quest’anno il prodotto di Google rimane intonso, dimostrando una sicurezza ineguagliabile. C’è chi maliziosamente vede nei recenti aggiornamenti del browser un palese tentativo di mettere una pezza alle falle scoperte, i cui dettagli sarebbero stati profumatamente comprati da BigG per non sfigurare ad un evento così importante quale è il Pwn2own.

Quale sia la verità non si saprà mai, rimane solo il dato di fatto di come Chrome paia essere il browser più veloce e sicuro in circolazione, e di come sia riuscito in un paio di anni ad imporsi in un mercato così densamente popolato e difficile. Per dovere di cronaca segnaliamo come anche quest’anno per Opera non si sia presentato nessuno, probabilmente perché il market share non è sufficientemente elevato da “meritare” mesi di studio alla ricerca di falle, anche se soprattutto nel mondo mobile la sua diffusione è sicuramente più che degna di nota.

Un nuovo giorno prende vita a Vancouver, e dopo che i browser sono tornati a casa, chi a pezzi e chi no, è il turno degli smartphone, oggetto sempre più diffuso e di culto nella nostra società. I concorrenti in gara sono sempre Apple, Microsoft e Google, stavolta con l’aggiunta di RIM. Ed è proprio il BlackBerry Torch 9800 (la versione del sistema operativo era la 6.0.0.246) la prima vittima della giornata, caduto nella mani di un trio capitanato dal nostro connazionale Vincenzo Iozzo.

L’attacco è sempre il solito, cioè quello di una pagina web costruita ad hoc e fatta visitare al browser del dispositivo. La procedura sfrutta una falla nel famoso motore di rendering WebKit (cosa che ha allarmato molto anche Google visto che lo usa per Chrome, la quale ha subito provveduto ad isolare la falla ed ha ricompensato il trio con circa 1300 dollari!!), ed ha permesso di sottrarre informazioni personali quali la rubrica dei contatti e le immagini memorizzate sul telefono, nonché di scrivere sul file system del dispositivo.

C’è stato grande clamore per questo exploit per due motivi: il primo, è che non esiste alcuna documentazione tecnica sul dispositivo, e quindi i 3 ricercatori si sono muniti di un semplice debugger, strumento vitale per noi programmatori, attraverso il quale sono riusciti passo passo a costruire la loro procedura. Il secondo motivo è che RIM non ha protetto il suo OS né con la DEP (Data Execution Prevention)  né con l’ASLR (Address Space Layout Randomiziation), due tecniche di sicurezza molto diffuse e molto importanti.

Nel dettaglio, la DEP è una tecnica che non permette al codice di essere eseguito al di fuori di un’area di memoria appositamente allocata per farlo, come ad esempio un’area dove risiede il contenuto di un array. Senza la DEP infatti, si era parecchio esposti al classico buffer overflow, dove cioè del codice “maligno” veniva eseguito come conseguenza di uno sforamento nella quantità di dati gestibili da una delle tante variabili normalmente presenti in un programma, condizione che portava alla sovrascrittura di altre aree di memoria con conseguenti crash o nei casi peggiori con la possibilità di prendere il controllo sia del programma in esecuzione che della macchina.

La DEP quindi, evita che del codice possa essere eseguito in una delle aree sovrascritte durante un buffer overflow, ed è davvero molto importante vista la popolarità di questo tipo di attacco. L’ASLR invece, è una tecnica che permette di caricare in memoria programmi e dll in aree casuali delle memoria, rendendo molto difficoltoso per un hacker eseguire codice malevolo sfruttando vulnerabilità nella gestione degli oggetti di programmazione, in quanto egli non saprà con sicurezza a quale indirizzo si trova, ad esempio, l’array da mandare in overflow.

Benché queste tecniche siano molto efficaci e presenti nei sistemi operativi moderni, abbiamo visto come esse in molti casi possano essere aggirati, permettendo agli exploit esposti fin qui di agire comunque indisturbati. Incassato il colpo, RIM ha ammesso di essere indietro sul piano della sicurezza rispetto agli altri smartphone, e che in futuro si preoccuperà di recuperare il terreno perso. Come ogni anno poi, è stata la volta del mitico Charlie Miller, personaggio molto famoso nella comunità, che anche quest’anno è riuscito ad abbattere l’iPhone di turno, ossia il 4.

Sfruttando una vulnerabilità nella versione  mobile di Safari, è riuscito a prendere possesso dell’intera rubrica dei contatti, aggirando così tutte le policy di sicurezza proprie di iOS 4.2.1. Lo stesso Miller ha ammesso in seguito che il suo exploit non è più funzionante nell’ultima versione, non in gara, del sistema operativo Apple (la 4.3), proprio grazie all’implementazione in quest’ultima release della DEP e dell’ASLR! Benché la falla sia ancora presente, di fatto non è più possibile sfruttarla proprio per la difficoltà nel rintracciare le aree di memoria adatte.

A farla franca ancora una volta è stata Google con il suo Android, che proprio all’ultimo è riuscita a risolvere una grave vulnerabilità presente nel market delle App. L’exploit, proposto da Jon Oberheide, prevedeva infatti l’esecuzione di codice Javascript all’interno del campo di testo che descrive l’applicazione sul market! Un buco pazzesco, che permetteva l’installazione e l’esecuzione silente di un qualsiasi programma semplicemente visitando un link sul proprio smartphone.

La falla è stata però segnalata a Google da Oberheide stesso qualche tempo prima, e la soluzione è stata immediata in quanto è stato sufficiente applicare uno dei comunissimi filtri contro il noto XSS (cross site scripting, cioè l’esecuzione di codice Javascript in “caselle di testo” non protette) per risolvere il tutto. Android ne esce quindi pulito, anche se però bisogna ammettere che se Oberheide avesse tenuto la bocca chiusa la storia sarebbe stata diversa, nonostante la falla avesse più le sembianze di una svista che di una reale vulnerabilità.

Anche Microsoft con il suo nuovissimo Windows Phone 7 è scampato alla gogna, in quanto nessun ricercatore si è presentato per attaccare l’OS. A dire il vero, il ben noto, per altre questioni, George Hots (Geohot), aveva preparato qualcosa ma a causa delle beghe legali che lo hanno investito per il caso dell’hack della PS3 verso Sony, ha dovuto forzatamente rinunciare alla sua partecipazione. Inoltre WP7 è un sistema ancora troppo giovane e poco diffuso, ed è molto probabile che il prossimo anno non sarà così fortunato.

Questa dunque la situazione che si è delineata in questa edizione 2011, e come sempre c’è chi afferma che i risultati siano indice del livello di sicurezza della piattaforma e chi invece afferma che questi valori siano assolutamente non attendibili, in quanto dettati dal fatto che i ricercatori possono arbitrariamente scegliere di bucare un sistema piuttosto che un altro.

Come più volte affermato da Charlie Miller, tutti i sistemi e tutti i browser hanno molti bugs, la difficoltà sta nello sfruttarli anche in relazione all’OS: se prendiamo Firefox dice Miller, scopriamo che su Mac OS X è più facile da bucare che su Windows, perché quest’ultimo è un po’ più avanti nella prevenzione degli attacchi informatici. Chrome invece pare davvero essere inviolabile, grazie alla sua sandbox di “piombo” che non permette di eseguire codice al di fuori di essa, così come una gestione dello Heap a prova di eseguibili maligni.

Inoltre le varie iniziative, come quella che mette in palio denaro in cambio della scoperta di falle, permette a Google di essere sempre pronta ad intervenire e migliorare la sicurezza dei suoi prodotti, facendosi “amici” gli hacker. Apple esce sempre un po’ con le ossa rotta, a dimostrazione del fatto che più un sistema si diffonde e più la sua insicurezza aumenta proprio perché ci sono più “menti” che si adoperano per bucarlo. Microsoft come al solito fa sempre un ottimo lavoro sul piano della sicurezza, ma l’enorme bacino di utente dei suoi sistemi la espone sempre ad un numero elevato di attacchi, che puntualmente ogni anno vengono sfruttati per bucare i lori sistemi.

Il browser o l’OS sicuro ancora non esistono, e la corsa tra guardie e ladri continuerà per sempre, ma credo che le manifestazioni come il Pwn2own siano estremamente importanti per migliorare con l’aiuto degli hacker “bianchi” la situazione. Anche perché il trend è proprio quello di avere sempre convergenza verso il browser e verso gli smartphone, ragion per cui i colossi non devono mollare la presa, anche perché grosse fette di mercato si giocano proprio sul piano della sicurezza.

Non credo quindi che ci siano né vincitori né vinti, ma solamente consumatori da tutelare e proteggere, ma questo evento è un po’ come una manifestazione sportiva, con tanto di tifosi che parteggiano per l’una o l’altra squadra. E voi per chi tifate? Vi sentite al sicuro con il vostro browser?

Press ESC to close