Vincitori e vinti
Il recente hacker contest al CanSecWest, a cui avevo accennato in questo post recente, ha lasciato 
qualche ulteriore strascico polemico.
Sembra che la maggior parte della gente sia falsamente convinta che l'exploit che ha "tirato giù" Vista sia limitato alla piattaforma Windows (io intanto muoio dalla curiosità di sapere i dettagli più succosi). Qualcun altro osserva che se l'exploit in questione fosse quello di cui parla Adobe in questo bollettino di sicurezza il danno sarebbe nullo in quanto l'exploit girerebbe con gli stessi privilegi dell'utente locale: come se la possibilità di vedere andare in fumo l'home folder e tutti i propri dati personali sia molto meno peggio che vedere il proprio PC soccombere totalmente.
Infine quelli di Ubuntu, che immagino davvero non hanno capito niente di quello che è successo, festeggiano con un post autocelebrativo:
CanSecWest PWN2OWN 2008 - Ubuntu Wins!
Nel frattempo il malware si evolve: meno software più psicologia, con exploit che sono multipiattaforma per definizione come il phishing; e qualche criminale fa affari d'oro con una vulnerabilità Cross Site Scripting vecchia di qualche anno o usando un'altra vecchia vulnerabilità per rubare dati personali a 60 mila studenti installare al tempo stesso un IRC bot sul server. Solaris.
Non c'è dubbio: mala tempora currunt.
-quack
Potrebbero interessarti anche:
Pubblicato giovedì 10 aprile 2008 alle 10:58 PM
- Archiviato in:
Security.
Condividi su:
Facebook,
Wikio,
Segnalo.
venerdì 11 aprile 2008 alle 1:06 AM -
Potresti spiegare un po' meglio la questione rispetto a Vista? Perché ne ho lette talmente versioni (interpretazioni?) diverse che non ho ancora capito cosa è successo realmente...
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 1:35 AM -
Purtroppo non ci sono ancora molti dettagli in giro. Questa è la vulnerabilità di Flash che è stata sfruttata per l'attacco. La vulnerabilità non parla di piattaforme e pare fosse conosciuta da Adobe già da Febbraio. Per me sarebbe più importante capire il browser usato (quelli senza PM dovrebbero essere molto più facilmente bucabili) e nel caso di IE7 se e in che modo sono stati capaci di bypassare la gabbia IL.
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 8:17 AM -
se anche l'exploit ha bypassato la gabbia IL, deve poi fare i conti con una seconda barriera cioè con lo UAC che lo fa eseguire con i privilegi limitati
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 10:02 AM -
Va benissimo fare della critica quando uno dice "Ubuntu ha vinto" però , cacchio, le regole erano chiare:
dvlabs.tippingpoint.com/.../cansecwest-pwn-
Le regole erano quelle e non le hanno mica piegate.
Secondo te, non hanno usato lo stesso exploit su ubuntu perchè gli faceva schifo il portatile su cui girava Ubuntu e 10.000€ di premio?
Allora, magari, è anche possibile che lo stesso exploit non funzioni su Ubuntu, o no? Attendiamo dettagli prima di dire "Ubuntu dice che ha vinto ma non ha capito niente"
Va bene essere spin doctors, ma mi sembra che sia il caso di limitarsi, ogni tanto.
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 11:15 AM -
Paperino, il post su wiki.ubuntu.org descrive semplicemente l'andamento del contest: l'unica parte autocelebrativa, se si puo' definire cosi', e' il titolo.
L'attacco a Solaris e' avvenuto sfruttando una vulnerabilita' al servizio ftp corretta mesi prima e mai patchata dagli amministratori: in questo caso e' corretto parlare di negligenza di questi ultimi.
Quanto al (serio) rischio di XSS su ebay, linka un articolo un po' piu' serio di quello di Repubblica, decisamente vago e ambiguo: manca solo il misspelling (per esempio, "acher") per diventare un esempio da manuale di pessimo articolo informatico (mi limito al "Gli autori dovrebbero darsi ad altro" per non infierire). Essendo un blog tecnico, vale la pena di linkare la pagina dei segnalatori della falla [1]: leggendo si scopre che l'XSS si basa su file Flash e che l'attacco richiede l'immissione di username e password in una finta pagina di login, non (Repubblica non chiarisce questo aspetto) l'acquisizione dei dati privati semplicemente visitando la pagina.
Quanto al phishing come nuova frontiera del malware, questo e' un trend che e' iniziato circa 3-4 anni fa e che si accopagna al ransomware e ad altre tattiche di ingegneria sociale: l'unico, parziale rimedio e' l'alfabetizzazione informatica di massa e la maggiore consapevolezza dei rischi.
Cosi' come i dispositivi di sicurezza installati sulle automobili possono fare poco o nulla contro le scelte errate del guidatore (alta velocita', sottovalutazione dei rischi, ecc.), analogalmente il browser non puo' prevenire qualsiasi attacco: la palla passa all'essere "fra la sedia e la tastiera" [2].
Edward
[1] www.falle-internet.de/.../pr_exme_engl.ph
[2] en.wikipedia.org/.../PEBKAC
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 11:27 AM -
Jack sei in errore, nessuno ha provato l'exploit utilizzato per Windows perché gli exploit multipiattaforma potevano essere utilizzati una sola volta (altrimenti era troppo semplice portarsi a casa tutti e tre i laptop in un colpo solo).
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 8:27 PM -
Sirus: possibile, questa è la parte del regolamento di cui parli?
"Once a laptop is won however, no more exploits may be submitted. Therefore there are a maximum of three cash prizes, one per laptop."
Mi sembra che quel "therefore" sia lì per dire che non puoi usare lo stesso exploit per vincere ancora i soldi lavorando su di un altro portatile.
Ciao.
@Paperino : problemi di db? Ogni tanto vedo il sito ogni tanto "free some disk space please!"
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 8:56 PM -
@Jack:
Ti spiego perché penso che l'exploit del CanSecWest sia cross-platform. È una mia opinione ovviamente, quindi ognuno è libero di condividerla o meno.
1) L'autore dell'exploit, fonte altamente qualificata in quanto nessuno conosce l'exploit meglio di lui, parla di possibile adattamento ad un'altra piattaforma con solo qualche "ora" di lavoro
2) la descrizione della vulnerabilità da parte di Adobe parla di "Flash Player 9.0.115.0 and earlier" come affected software. Nessuna piattaforma è menzionata
3) ad una lettura superficiale del baco sembrerebbe indicare una funzione di alto livello
4) last but not least tutti quelli che affermano che Linux non è stato "colpito" per motivi intrinseci non hanno portato nessun motivo plausibile (tranne la paventata "superiorità" di *nix a quanto pare incapace di "arrestare" l'exploit di Safari). Quale sarebbe la ragione per la quale un pezzo di codice qualsiasi che espone una vulnerabilità di tipo Remote Execution dovrebbe magicamente non manifestarsi sotto Linux? Qualcuno può convincermi del contrario?
Per questo dico che festeggiare, fino a quando i dettagli più succosi non saranno di pubblico dominio, è totalmente senza senso.
@Edward:
Il trafiletto sul wiki di ubuntu è veramente breve. Ma sono dell'avviso che gli unici veri vincitori del contest siano Charlie e Shane.
Il riferimento alla vulnerabilità di Solaris (non guardare di chi è la colpa, ma guarda qual'è stato il bottino: 60mila SSN e un IRC bot sul server!) e quella di Ebay (avevo visto i video su Repubblica TV e pensavo fossero linkati nell'articolo. Mea culpa) sono solo liquido di contrasto per mostrare quanto di questi tempi possa essere "stonata" una campagna in stile Apple: comprate il nostro OS e sarete magicamente protetti, che miete più vittime di quanto si possa immaginare (ovunque vai leggi che MacOS è più sicuro perché non ci sono virus!). Tra l'altro l'attacco via CSS su Ebay, e ti ringrazio per il link, altro non è che una forma sofisticata di phishing in grado di colpire un utente leggermente più smaliziato dell'utOnto base (quello che clicca i link nelle email).
@quest:
UAC potrebbe essere irrilevante se la gabbia IL viene bypassata. Sarebbe abbastanza per distruggere i documenti nell'home folder e questo è più che sufficiente per giudicare una vulnerabilità molto grave.
La discussione si fa interessante.
-quack
P.S. @Jack:
sembrerebbe che abbia riempito il database ma lo spazio occupato è molto meno della "quota" a me assegnata. Nel frattempo che il mio ISP investiga, ho cancellato un po' di log vecchi. Of course dopo un sano backup.
Permalink - Rispondi al commento
venerdì 11 aprile 2008 alle 11:43 PM -
Infatti hanno portato a casa un bel notebook e $10.000 ...
<ironia> Per OS X ci sono davvero pochi virus in senso stretto (programmi replicanti): chi perderebbe tempo a scriverne uno quando puo' sfruttare piu' agevolmente le vulnerabilita' dei programmi? Quanto a problemi di sicurezza in generale, sta recuperando velocemente le "lacune" che gli mancavano in passato
</ironia>
Edward
Permalink - Rispondi al commento
sabato 12 aprile 2008 alle 8:22 PM -
Personalmente sono d'accordo con paperino sul fatto che la vulnerabilità sia una x-platform. Altresì, sono quasi certo (e questa è la mia opinione personalissima e opinabilissima) che Ubuntu ha vinto solo perchè la maggior parte dei partecipanti voleva a tutti i costi dimostrare che linux ce l'ha più lungo. Onestamente, se il bug era noto, a me avrebbe fatto molta più gola il premio in denaro dedicato per Ubuntu, e sempre personalmente, se fossi stato a conoscenza del bug in questione, avrei cercato di sfruttarlo sotto linux. Evidentemente i cosiddetti hacker etici hanno l'etica delle guerre di religione.
Permalink - Rispondi al commento
lunedì 14 aprile 2008 alle 3:27 AM -
Non credo sia stata una questione di etica. Shane ha ammesso che era più familiare con l'ambiente Windows ed è per questo che ha attaccato quella piattaforma. A chi gli chiedeva perché usava un Mac ha risposto che ci faceva girare Vista
Permalink - Rispondi al commento
lunedì 14 aprile 2008 alle 12:16 PM -
Che bella discussione...
Rassegnatevi, difficilmente un sistema oggi, Vista incluso, riuscirà a rinverdire i fasti di sasser.
Permalink - Rispondi al commento