di  -  lunedì 23 marzo 2009

Browser SecurityCol passare degli anni i browser si sono fatti sempre più complessi e centrali nella vita degli utenti. Da semplici motori di rendering per banali pagine HTML, sono ora in grado di far girare vere e proprie applicazioni complesse. Microsoft Office Live, Google Docs e iWork.com sono solo alcuni esempi. Data la complessità che hanno raggiunto e l’enorme mole di codice di cui sono composti, è quindi piuttosto normale che soffrano di vari tipi di vulnerabilità.

A dare, per ultimo, prova di ciò è stata la terza edizione della competizione Pwn2Own svoltasi la scorsa settimana alla conferenza internazionale CanSecWest e sponsorizzata dalla Zero Day Initiative. Il contest, della durata di tre giorni, si rivolgeva alla sicurezza di due target: i browser, appunto, e gli smartphone.

Secondo le regole vi erano due ambienti possibili. Su un ultraportatile Sony Vaio P girava l’ultima build beta di Windows 7, con installati Internet Explorer 8, Firefox 3.0 e Chrome 1.0. Ancora Firefox 3.0 e Safari 4.0 beta invece su un Macbook con Mac OS X 10.5. Entrambi i sistemi operativi e i software totalmente patchati e in configurazione di default. Niente Linux, presente invece l’anno scorso con Ubuntu. E niente Opera, assente discusso.

Per i dispositivi mobili sono stati invece presi in considerazione un Blackberry, un HTC Dream con Android 1.1, un iPhone 3G, un Nokia N95 con Symbian OS 9.2 e un HTC Touch con Windows Mobile 6.1.

Il primo giorno è stato l’unico veramente eccitante dei tre, ciascuno con regole d’ingaggio di difficoltà decrescente. I browser giravano senza plugins aggiuntivi e l’unica interazione ammissibile con la vittima fittizia era il click su un link.

Pochi secondi dall’inizio delle competizione ed ecco il primo browser a cadere e a permettere all’attaccante il pieno controllo della macchina vittima: Safari (sia 3.2 che la 4 beta). A portare a compimento l’impresa il ben noto ricercatore Charlie Miller, che già all’edizione dell’anno scorso del Pwn2Own aveva vinto grazie sempre ad un exploit per Safari.

Miller ha riferito che la vulnerabilità sfruttata quest’anno era già stata scoperta da lui un anno fa, ma che non era riuscito ad usarla nel contest del 2008 e aveva preferito non rivelarla. Un anno dopo, qualche ora di lavoro in più, e la vulnerabilità era ancora al suo posto e l’exploit pronto all’uso.

Miller ha affermato in un’intervista: “Mai più bug gratis. Le vulnerabilità hanno un valore di mercato, perciò non ha senso lavorare duramente per trovare un bug, sviluppare il relativo exploit e poi dare tutto via”. Molti, nella comunità underground, non concorderebbero.

La vincita che Miller si è aggiudicato è stata di $5.000 più il Macbook violato. Vendere l’exploit sul mercato nero gli avrebbe fruttato alcune decine di migliaia di dollari. Fortunatamente non sembra essere solo il puro profitto ciò che cerca.

La vulnerabilità è probabile che affligga anche Safari per Windows, chiaramente però l’exploit per sfruttarla dovrebbe essere quasi totalmente riscritto.

Il vero protagonista della giornata è stato però un altro venticinquenne hacker tedesco, noto solo col nome Nils (qui un intervista). Questo ragazzo è riuscito niente meno che a violare tutti e tre i più diffusi browser in poche decine di minuti.

Prima è toccato a Internet Explorer 8: bypassati i due principali meccanismi di protezione della memoria presenti su Windows: DEP (Data Execution Prevention) e ASLR (Address Space Layout Randomization). Poi è stata di nuovo l’ora di Safari, violato sfruttando una vulnerabilità differente da quella usata da Miller. Infine è toccato a Firefox 3 su Windows.

Tanto di cappello a Nils, $15.000 meritati (ricordo che già solo l’exploit per IE8 sarebbe potuto essere venduto con una certa facilità sul mercato nero per cifre attorno ai $100.000). Benché la versione di IE8 attaccata non fosse ancora quella definitiva (rilasciata nei giorni scorsi dalla Microsoft), l’azienda di Redmond ha già confermato come anche la versione definitiva sia vulnerabile.

Quattro importanti vulnerabilità 0day in un giorno per i tre browser più diffusi, quindi. Niente male.

Alcune riflessioni di Charlie Miller su questa giornata meritano attenzione. Alla domanda perché abbia scelto come obiettivo Safari e non si sia poi dedicato anche ad IE, il ricercatore risponde molto chiaramente: “Safari su Mac è più facile da bucare. Le cose che Windows fa per rendere più difficile il funzionamento di un exploit, Mac OS non le fa. […] Dipende soprattutto dal sistema operativo, più che dal programma attaccato. Anche Firefox su Mac è piuttosto semplice. Il sistema operativo sottostante non ha al suo interno tecniche di anti-exploitation”.

Aggiunge poi Miller: “È chiaro che tutti e tre i browser (Safari, IE e Firefox) hanno dei bug. Le falle che permettono l’esecuzione di codice arbitrario sono ovunque. Ma è solo metà dell’equazione. L’altra metà è sfruttare il bug (exploitarlo). E non c’è praticamente nessun ostacolo nel farlo su Mac OS X.”

Miller continua poi evidenziando come l’exploit di Firefox su Windows operato da Nils sia anche più impressionante di quello di IE: “Tra tutti i browser sui vari sistemi operativi, l’obiettivo più difficile è Firefox su Windows. Con Firefox su Mac OS X puoi fare quello che ti pare”.

Ricordo che parliamo di uno che sa cosa dice, che ha appena pubblicato, insieme a Dino Dai Zovi (vincitore della prima edizione del Pwn2Own grazie ad un exploit per QuickTime), The Mac Hacker’s Handbook.

Nei due giorni successivi della competizione, malgrado l’ampliamento della superficie di attacco (consentito l’uso sui browser di plugins quali Flash, Java, .NET, QuickTime; maggiore interazione nei dispositivi mobili: lettura di email/SMS/MMS, stack WiFi e Bluetooth attivo, etc.) non si è verificato nessun evento particolarmente interessante a parte i crash, non abbastanza rilevanti, di alcuni dispositivi.

Per la cronaca ricordo che Charlie Miller è stato anche il primo a sviluppare, nel 2007, un exploit per l’iPhone e che a BlackHat Japan 2008 Collin Mulliner ha portato una presentazione dal significativo titolo Symbian Explitation and Shellcode Development. Quest’anno tutti gli smartphone sono sopravvissuti, ma è naturale aspettarsi, per il prossimo futuro, risultati ben differenti.

Chrome è stato quindi l’unico browser, tra quelli in gara, ad aver resistito. Questo è un fatto, che va però interpretato. Alla domanda se fosse sorpreso che Chrome sia stato l’unico browser a stare in piedi, Miller risponde: “Ci sono dei bugs in Chrome, ma sono molto difficili da sfruttare. I ho una vulnerabilità in Chrome proprio ora ma non so come sfruttarla, è veramente complesso. Il browser ha quel modello a sandbox che è difficile da scavalcare. Con Chrome è una combinazione di cose: non puoi eseguire codice nel heap, ci sono le protezioni di Windows e poi la sandbox. I posso avere questo bug e posso anche essere in grado di ottenere l’esecuzione di codice, ma sono nella sandbox e non ho i permessi per fare niente. Ci vorrebbe un altro bug per uscire dalla sandbox. Alla fine quindi hai bisogno di due bugs e due relativi exploits”.

Attualmente non è stato rilasciato nessun dettaglio tecnico sulle vulnerabilità in gioco. Le rispettive software house sono state contattate, al momento del rilascio delle patch sarà lecito aspettarsi informazioni più complete sulle falle.

Contest come il Pwn2Own non servono in assoluto per capire quale sia il browser più sicuro, sono però comunque utili per stimolare la ricerca nel settore e per farsi un’idea dei problemi che possono affliggere i principali software di navigazione Web sulle varie piattaforme.

Come abbiamo visto, nella competizione ci si è rivolti a tipi di vulnerabilità non specificatamente relative ai browser, quanto piuttosto a quei tipi di vulnerabilità nella gestione della memoria di un programma che affliggono un po’ tutti i software (ad esempio i buffer overflow, per intenderci).

Esistono tuttavia problematiche di sicurezza strettamente legate alle funzionalità dei browser, il Browser Security Handbook di Michal Zalewski è sicuramente un’ottima lettura per chi fosse interessato.

35 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Riuzasan
     scrive: 

    Un complimento al buon Miller che, tuttavia, resta un personaggio abbastanza di parte fin dalla vicenda sui brevetti attorno ad alcune parti del kernel Linux.

    Il vero plauso tuttavia va, come sempre, a chi davvero programma le cose con un certo criterio: mi riferisco alla pulizia, eleganza e robustezza di CHrome.

    E’ in questi ambiti che si mostra la bellezza di una idea impelmentativa piuttosto dell’implementazione fine a se stessa.

  • # 2
    Pio Alt
     scrive: 

    Mi sembra che ci sia una piccola leggerezza in questo modo di affrontare la cosa:
    “niente più bug a zero dollari”
    “lo ho scoperto una anno fa e me lo tengo per me”
    “lo avrei potuto vendere al mercato nero a tot dollari”

    Bisognerebbe tenere presente, anche se si è molto bravi, che la legge vale per tutti, anche per gli hacker.
    Altrimenti, tra un po’ sarà: “Ha trovato un chilo di droga e lo ha restituito alla polizia invece di venderlo al mercato nero dove avrebbe potuto guadagnarci parecchio: eroe, applausi, complimenti, pagina su Wikipedia :D ”
    Invece ha fatto solo il proprio dovere, fornire appoggio ai delinquenti è complicità, cioè un reato. Ma oggi anche il concetto di reato sembra che lo si voglia relativizzare: la legge è uguale per tutti ma per gli hacker è un po’ più uguale…

  • # 3
    Jacopo Cocchi
     scrive: 

    Sicuramente la legge è uguale per tutti, però qui il discorso si sposta su un altro piano.
    Se io trovo 1 chilo di droga, al 99% non è perché ho investigato e speso risorse per trovarlo ma m’è capitato fra le mani.

    I white hat invece compiono una dispendiosa attività di analisi e ricerca per trovare potenziali falle nelle applicazioni che utilizziamo quotidianamente.
    Quindi un minimo di merito per questa attività(che prescinde dall’aspetto monetario) tutto sommato non mi sembra sia sbagliato attribuirlo :)

  • # 4
    floc
     scrive: 

    non si possono paragonare le cose, la percezione del reato e’ diversa e l’accertabilita’ non esiste di fatto: e’ solo un problema di ordine etico, con l’etica non si fanno i soldi, ed e’ molto soggettiva, credo sia tutto qua

    quanto ai risultati, l’aslr e’ buggato da una vita e lo sanno anche i sassi ormai, il discorso e’ che se ne fregano. Per osx invece… sn stufo di sentire gente che dice “uso osx perche’ e’ sicuro” :P

  • # 5
    Alessio Di Domizio
     scrive: 

    Qui nessuno ha offerto appoggio ai delinquenti. Semplicemente in Apple chi si occupa di bugtracking è pagato profumatamente ed è normale che un esperto non voglia lavorare per beneficienza, quando poi se va all’apple store nessuno gli regala una copia di leopard per la sua bella faccia.

    Mi pare di converso piuttosto notevole che il bug sia rimasto intatto a distanza di un anno…

  • # 6
    Riccardo C. [Gibbo]
     scrive: 

    ASLR buggato?

    More info/link please! :-D

  • # 7
    Mister24
     scrive: 

    L’utilizzo di Windows 7 con IE8 in beta come piattaforma di test non mi sembra molto sensato, poi il caso ha voluto che la vulnerabilità fosse presente anche sulla versione definitiva di IE8.
    Forse era meglio usare Vista che è un sistema operativo molto più rodato.

  • # 8
    Alberto Trivero (Autore del post)
     scrive: 

    Per Riccardo C. [Gibbo]:

    L’ASLR è spesso bypassabile su tutte le piattaforme:
    http://www.symantec.com/avcenter/reference/Address_Space_Layout_Randomization.pdf
    http://www.nextgenss.com/papers/xpms.pdf
    http://www.packetstormsecurity.org/papers/bypass/aslr-bypass.txt
    http://trailofbits.files.wordpress.com/2009/03/macosxploitation_source2009.pdf

    Per Mister24:
    E’ pressoché sicuro che i ricercatori abbiano sviluppato l’exploit prima su Vista e poi l’abbiano portato su Windows 7 per la competizione. E non è proprio un caso fortuito che la vulnerabilità fosse presente sia nella RC di IE8 che nella final.

  • # 9
    Jabberwock
     scrive: 

    Gli organizzatori hanno spiegato perche’ non ci fosse Opera?

  • # 10
    goldorak
     scrive: 

    Gia’, quoto Jabberwock, perche’ niente Opera ?
    Forse e’ un browser troppo sicuro ?

  • # 11
    Pio Alt
     scrive: 

    Naturalmente non ho detto che “qui” qualcuno offre appoggio… (non può essere appoggio parlare delle cose…) mi riferisco sempre ai fatti, non alla notizia.

    Ma la sensazione che “chi è dalla nostra parte può permettersi di più…” non mi piace… domani potrei trovarmi dall’altra parte…

    Investigare i bug costa tempo e denaro? perchè non si astengono dal farlo? Questa ricerca è una sfida, come tale è corretta e può essere utile. Ma perchè lavorare se non si ha un incarico retribuito? Perché pretendere una ricompensa per qualcosa che si fa volontariamente.

    L’esempio che ho fatto non sarà stato perfetto ma serve arrivare al limite per comprendere meglio :)
    Certo negli usa le cose sono diverse, ma se qui da noi qualcuno andasse in giro per strada e cercasse gli spacciatori, li denunciasse alla polizia, poi potrebbe chiedere di essere pagato perchè ha fatto il lavoro al posto dei poliziotti?
    Se un cittadino esce di casa e scopre casualmente un reato e lo denuncia, ha diritto ad una ricompensa? Ha fatto solo il proprio dovere (teoricamente imposto dalla legge pure… ma lasciamo stare :) ).
    In entrambi i casi non ci si aspetta una ricompensa. Ma forse negli usa sì, questo non lo so valutare precisamente.

    Da italiano dovrei anche aggiungere: ma siamo sicuri che non ha già venduto il bug alla mafia? visto che lo tiene nel cassetto da un anno?

  • # 12
    Alberto Trivero (Autore del post)
     scrive: 

    Per Jabberwock:
    La spiegazione ufficiale degli organizzatori, Zero Day Initiative, è stata che in base al market share loro accettano solo vulnerabilità per Firefox ed IE nello ZDI. Chrome e Safari sono stati inclusi perché installati di default sulle piattaforme mobili prese in considerazione.
    Si vedano i commenti a questo post: http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009

    Per goldorak:
    Su fatto che Opera sia TROPPO sicuro ho qualche riserva:
    http://secunia.com/advisories/product/10615/?task=advisories
    http://seclists.org/fulldisclosure/2008/Oct/0401.html

    Per Pio Alt:
    Le similitudini che usi non si applicano al caso specifico. Sono alcuni anni che le vulnerabilità hanno un legale valore di mercato, ci sono gruppi appositi come appunto la ZDI o iDefense che le acquistano dai ricercatori. C’è l’offerta e c’è la domanda, il mercato funziona così, e a Miller fa comodo che sia così. Le obiezioni che si possono fare sono diciamo di tipo “etico”, e riguardano la libera circolazione e il libero scambio di conoscenze specifiche, non certo di tipo pratico.
    Se preferisci, per stare un po’ nelle tue metafore, vedi Miller come un detective privato, fa lavori di indagine come alcuni organi pubblici ma è pagato da privati.
    Se Miller avesse venduto il bug alla mafia probabilmente nel giro di qualche settimana o mese sarebbero comparsi i segnali dell’esistenza di questa vulnerabilità “in the wild”. Sarebbe peraltro assai stupito perché rischierebbe di commettere un reato penale violando il NDA firmato con la ZDI.

  • # 13
    Jabberwock
     scrive: 

    La spiegazione ufficiale degli organizzatori, Zero Day Initiative, è stata che in base al market share loro accettano solo vulnerabilità per Firefox ed IE nello ZDI. Chrome e Safari sono stati inclusi perché installati di default sulle piattaforme mobili prese in considerazione.
    Si vedano i commenti a questo post: http://dvlabs.tippingpoint.com/blog/2009/02/25/pwn2own-2009

    In effetti hanno sollevato le mie stesse obiezioni alla scelta: presenza di Opera in Wii, DS, DS-i, diversi palmari/smartphone (default o installabile a parte) ecc. ecc. Insomma, e’ una motivazione che, detta cosi’, non mi pare stia cosi’ tanto in piedi! :-\
    Da decennale utente Opera, mi sarebbe piaciuto vederne il comportamento!

  • # 14
    Alberto Trivero (Autore del post)
     scrive: 

    Ho aggiornato l’articolo, Nils ha 25 anni ed è tedesco. E’ appena uscita un’intervista: http://blogs.zdnet.com/security/?p=2951

  • # 15
    sbubunga
     scrive: 

    a leggere queste dichiarazioni mac os ne esce davvero male :P

  • # 16
    brion
     scrive: 

    Domande:
    Gli Integrity Level di Windows funzionano come una sandbox in un certo senso, come è riuscito a scavalcali?
    Usando un programma come Sandboxie per esempio si sarebbe bloccato l’exploit?

  • # 17
    Magilla
     scrive: 

    Com’è ben frequentato sto sito… Da qualsiasi altra parte flame su apple…
    Continuiamo così!

  • # 18
    goldorak
     scrive: 

    @ Magilla, di intervento flammoso qui ce ne solo uno il tuo.
    E un dato oggettivo che Mac Os X sia architetturalmente meno sicuro di Vista. Non centra essere pro o contro Microsoft e/o Apple. Basta vedere quali sono i meccanismo di protezione/integrita’ in Os X e in Vista.
    Sfruttare una falla in Safari ed avere praticamente la strada spianata per prendere il controllo della macchina su Os X fa riflettere eh. Su Vista non hai la strada spianata.

  • # 19
    innominato5090
     scrive: 

    voglio chome per mac! mi sento tanto insicuro con safari :(

  • # 20
    menagezero
     scrive: 

    Alcune riflessioni di Charlie Miller su questa giornata meritano attenzione. Alla domanda perché abbia scelto come obiettivo Safari e non si sia poi dedicato anche ad IE, il ricercatore risponde molto chiaramente: “Safari su Mac è più facile da bucare. Le cose che Windows fa per rendere più difficile il funzionamento di un exploit, Mac OS non le fa. […] Dipende soprattutto dal sistema operativo, più che dal programma attaccato. Anche Firefox su Mac è piuttosto semplice. Il sistema operativo sottostante non ha al suo interno tecniche di anti-exploitation”.

    Aggiunge poi Miller: “È chiaro che tutti e tre i browser (Safari, IE e Firefox) hanno dei bug. Le falle [quote]
    che permettono l’esecuzione di codice arbitrario sono ovunque. Ma è solo metà dell’equazione. L’altra metà è sfruttare il bug (exploitarlo). E non c’è praticamente nessun ostacolo nel farlo su Mac OS X.”

    Miller continua poi evidenziando come l’exploit di Firefox su Windows operato da Nils sia anche più impressionante di quello di IE: “Tra tutti i browser sui vari sistemi operativi, l’obiettivo più difficile è Firefox su Windows. Con Firefox su Mac OS X puoi fare quello che ti pare”.
    [quote]
    :eek:

    mi chiedo se Miller si renda condo di “rischiare la pelle” … :asd:

    scherzi a parte, sapete se quando diceva che in genere l’obiettivo più difficile è ff(su win), se nel suo giudizio includeva anche altri browser un minimo rilevanti (tecnicamente se non altro) oltre a quelli menzionati nell’articolo? (ovvero quantomeno opera e konqueror direi … mai usatoi davvero konq., ma un periodo opera aveva nomea di essere anche più ostico di ff da bucare)

    inoltre sarebbe interessante sapere come se la cavano i medesimi browser su sistemi linux e/o *bsd, rispetto ad un tentativo di esploitare le medesimie vulnerabilità sfruttate nel concorso

    mi incuriosisce molto infine il discorso sulla necessità di bucare un livello di sandbox sempre presente in chrome … ma da vista in poi ie non girava pure lui “sandboxato” ? o non è la modalità di default (e non è stata quindi usata nel concorso ?), o è stata una implementazione poco efficace e facile da aggirare ?
    … oppure semplicemente ricordo proprio amle relativamente a questa cosa ? :D

  • # 21
    Alberto Trivero (Autore del post)
     scrive: 

    Per brion e menagezero:
    Bypassing browser memory protections in Windows Vista: http://www.phreedom.org/research/bypassing-browser-memory-protections/
    Buona lettura.. ;)

  • # 22
    Alberto Trivero (Autore del post)
     scrive: 

    Interessante post appena pubblicato dal Microsoft Security Response Center: “Released build of Internet Explorer 8 blocks Dowd/Sotirov ASLR+DEP .NET bypass”.
    Ciò significa che Nils non ha usato quel trick per il suo exploit, come invece molti avevano supposto. Resta quindi ancora da capire come abbia fatto.

  • # 23
    Magilla
     scrive: 

    @ goldorak
    Non vedo cosa fosse di flammoso nel mio commento, Esprimevo sinceramente il fatto che ero contento ci si limitasse a commentare la notizia e basta, se volevo alimentare il flame non avrei detto un “continuate così”.
    Infatti in tutti gli altri siti si era cominciato subito a difendere/attaccare apple o win (come hai poi fatto tu se vogliamo).

  • # 24
    EnricoG
     scrive: 

    Questo blog e l’alto profilo dei commenti mi rimette di buon umore, e’ sempre bello trovare persone civili e che dialogano per scambiarsi informazioni invece delle solite zuffe tra fanboy ;-)

  • # 25
    D
     scrive: 

    Ma che sarà mai successo al Pwn2Own… (detto con quel tono alla Staffelli)

    Semplicemente che alla luce, nei pressi dello spartiacque dei fatti, anni di belle parole e slogan secondo i quali, il proprio è sempre meglio (Safari è meglio perchè Apple, Firefox è meglio perchè open source e blablabla) vanno a farsi benedire…
    Alla fine l’unica cosa che conta è che i tre attori in causa si mobilitino per identificare e chiudere le falle scoperte ed exploitate con la massima tempestività.
    Microsoft c’ha messo 12 ore, Firefox non se ne sa nulla ed Apple è già caduta in fallo perchè la falla sfruttata in Safari era vecchia di un anno già in apertura del concorso senza contare l’imbarazzante assenza di protezioni di osx (eh sì, bug ed exploit non si spaventano davanti ad un poster con una X viola gigante e tanti bei paroloni sulla presunta inviolabilità di unix).

  • # 26
    Alberto Trivero
     scrive: 

    Per D:
    La Microsoft c’ha messo 12 ore a confermare l’esistenza della vulnerabilità nella versione appena rilasciata di IE8, non a patcharla. Nessuno dei tre browser ha ancora la rispettiva patch.
    La vulnerabilità in Safari è vecchia di un anno nel senso che Miller l’aveva già scoperta un anno fa senza rivelarla a nessuno e gli sviluppatori della Apple nel frattempo non sono stati abbastanza bravi o fortunati da individuarla anche loro e patcharla; non nel senso che la falla era nota da un anno al pubblico e non era stata ancora patchata, cosa che è invece capitata più di una volta con IE.

  • # 27
    Phire
     scrive: 

    giusto per completezza… l’integrity level di vista non è mai stato pensato come una sandbox, anzi è scritto chiaro e tondo (su msdn) che NON è UN TENTATIVO DI IMPLEMENTARE UNA SANDBOX.
    ma UAC era attivo? l’utente era amministratore (e quindi doveva solo premere “ok”) oppure doveva inserire nome utente e password per l’elevation?

  • # 28
    Alberto Trivero (Autore del post)
     scrive: 

    Per Phire:
    Il sistema era appena installato e in configurazione di default, non ricordo se questo significhi che UAC fosse attivo o meno, in ogni caso è poco significativo viste le varie semplici tecniche per bypassarlo, peraltro non necessarie in questo caso perché parliamo di un exploit di IE probabilmente in kernel space. L’utente ha semplicemente cliccato su un link e questo ha portato alla compromissione del sistema con l’acquisizione dei privilegi di SYSTEM per l’attacker. Non è richiesta nessun’altra interazione.

  • # 29
    Phire
     scrive: 

    si, di default è attivo.
    quello che volevo capire è proprio il passaggio dai limitati permessi di un utente ad addirittura System (senza UAC il token dell’utente se amministratore avrebbe tutti i privilegi per scrivere dove vuole) considerato che ie viene cmq eseguito con l’utente logato… boh… affascinante ed inquietante…

  • # 30
    massimo m.
     scrive: 

    se trovassi un difetto di fabbricazione di un’auto non lo segnaleresti alla ditta che le fabbrica?
    se non segnali il difetto e poi della gente si ammazza perche’ la macchina s’e’ guastata, tu sei corresponsabile.
    idem per i bug. se non li segnali e uno poi li scopre e li usa per fare danni, tu sei corresponsabile dei danni.
    ma credo che pretendere serieta’ da certa gente che si crede “acher” sia chiedere troppo.
    soldi per segnalare bug? un vero hacker lo fa gratis.
    nessuno ti obbliga a cercare bug, ma se li scopri, e’ moralmente necessario segnalarlo.
    ci va tempo e fatica a trovarli? e allora? nessuno ti obbliga. esattamente per lo stesso motivo per il quale nessuno ti obbliga a smontare la macchina per vedere se ha dei difetti di fabbrica. ma se lo fai, che ti paghino o no devi segnalarlo.

  • # 31
    Jacopo Cocchi
     scrive: 

    Bisogna sempre stare attenti a quando si parla di etica in un contesto di mercato libero, che è quello anche dell’IT security.
    Al di là poi del vero significato di “hacker” (su cui sono stati scritti dei libri) e che trovo impossibile da esaurire in una frase, ci si dimentica che le persone che competono in questi eventi sono persone che spesso lavorano proprio nell’ambito della sicurezza e che quindi sono GIA’ pagate per fare il lavoro che fanno.
    Ci si può aspettare che segnalino i problemi riscontrati “aggratis” ma non li si deve certo biasimare se accettano compensi dalle software house.
    Anche perché possono essere dei professionisti freelance e come in tutti gli ambiti, le loro prestazioni vanno pagate.
    D’altra parte se esiste un mercato della domanda è perché c’è anche un’offerta contestuale.

    Il paragone con l’industria dell’auto trovo sia poi forzato.

  • # 32
    Il mercato dei BUG | Gas Knows Best
     scrive: 

    […] giorni fa leggevo (qui) che si e’ svolta una competizione (il Pwn2Ow9) che ha messo alla prova diversi browser e […]

  • # 33
    Alberto Trivero (Autore del post)
     scrive: 

    http://dvlabs.tippingpoint.com/blog/2009/03/27/pwn2own-ie8-exploit-foiled-is-the-browser-finally-secure
    Nils ha usato la tecnica di Dowd e Sotirov per exploitare IE8, come ho però detto la versione definitiva di IE8 ha una protezione contro quella tecnica di exploiting.
    Ciò significa che l’exploit di Nils non funziona contro la versione finale di IE8, però la vulnerabilità esiste comunque, ma per sfruttarla ci vuole qualche innovativa tecnica.

  • # 34
    norbertom
     scrive: 

    Diciamo c’è un articolo ottimo da stampare in formato poster e mostrarlo ad ogni utente mac quando apre bocca. Perché se parla un utente win è un fanboy, di fronte a questi eventi cosa dire???

    Per quanto riguarda il pagamento, niente di più giusto. è pur sempre uno studio accompagnato da sudore. C’è qualcuno di voi che studia senza sperare in un compenso? Non dimentichiamoci che nella sicurezza informatica vengono investiti milioni, questi sono spiccioli, tra l’altro meritati alla grande.

  • # 35
    Security patches per tutti i gusti - Appunti Digitali
     scrive: 

    […] in Internet Explorer, una delle quali è quella famosa falla che permise a Nils al contest Pwn2Own di febbraio di violare una macchina con Windows 7 attraverso […]

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.