Alfonso Maruccia

Bloccata l'asta del laptop con Vista crackato

L'hacker responsabile dell'impresa al PWN 2 OWN di Vancouver voleva far fruttare il proprio lavoro di coding. Ma eBay se n'Ŕ accorta

Roma - Gli hacker hanno un'etica? Forse, di certo chi non si fa problemi di coscienza nel vendere a buon mercato le proprie scoperte in fatto di vulnerabilità dei sistemi Microsoft è Shane Macaulay, che ha prontamente messo all'asta su eBay il portatile vinto nel recente contest PWN 2 OWN grazie all'impiego di un exploit in grado di garantirgli il controllo di Windows Vista.

Non contento dei 5.000 dollari fruttatigli dalla vittoria, Macaulay ha aperto un'asta per il Fujitsu U810 in cui era riuscito a penetrare grazie a una falla individuata in Adobe Flash. Comparsa su eBay nei giorni scorsi, la compravendita è però rimasta in linea solo poche ore, il tempo per i tecnici del portale di notarla. "╚ stata la formulazione dell'asta che ha carpito l'attenzione degli esperti" che hanno il compito di monitorare il sito, ha dichiarato al NY Times un portavoce della società.

E d'altronde Macaulay ha fatto di tutto perché la sua proposta venisse notata: "Questo laptop è un buon caso pratico per qualsiasi gruppo/società/individuo impegnato in attività forense che voglia mettersi in mostra", nonché un esempio di vulnerabilità diffuse al di fuori di ogni bollettino di sicurezza, aveva scritto l'esperto nell'asta, sottolineando come molto probabilmente l'exploit sfruttato per vincere il PWN 2 OWN era ancora facilmente estraibile dalla macchina.
Secondo Macaulay, la vulnerabilità in Flash da lui scoperta - sfruttabile di concerto con codice Java - interesserebbe il 90% dei computer nel mondo. Ma se la vendita si fosse conclusa regolarmente senza l'intervento di eBay, l'hacker non avrebbe avuto più diritto al premio in denaro messo in palio da TippingPoint - divisione di 3Com - per il contest.

Se Macaulay, che lavora come ricercatore per la società di consulenza Security Objectives, avesse distribuito il laptop prima che Adobe avesse potuto mettere mano a una patch risolutiva per la falla in Flash, ha ammonito Terri Forslof di TippingPoint, il contratto di "nondisclosure" non sarebbe stato più valido e l'esperto sarebbe stato squalificato dal programma.

Alfonso Maruccia
30 Commenti alla Notizia Bloccata l'asta del laptop con Vista crackato
Ordina
  • a quanto l'ha messo all'asta.....a saperlo glielo compravo io.......
    non+autenticato
  • - Scritto da: vegatronic
    > a quanto l'ha messo all'asta.....a saperlo glielo
    > compravo
    > io.......

    Eh, ma mi sa che i prezzi fossero diventati proibitivi in poco tempo...
    non+autenticato
  • invece il macbook air non se lo sono tenutoSorride
    MeX
    16902
  • - Scritto da: MeX
    > invece il macbook air non se lo sono tenutoSorride

    Forse non hai capito bene... parlano di MICROSOFT e VISTA...
    (software) non di macbook (hardware) e in ogni caso qualunque hardware (compreso il macbook) che faccia girare QUEL software (si parla sempre di Microsoft) ha quel problema... chi NON fa girare quel software NON ha quel problema (quale che sia l'hardware macbook o no)!
    Magari avrà ALTRI problemi ma quello (lo stesso) proprio no!
    Concludendo:
    Cosa c'entra il macbook?
    Quale è la parte del ragionamento ti era sfuggita?
    non+autenticato
  • - Scritto da: ullala
    > - Scritto da: MeX
    > > invece il macbook air non se lo sono tenutoSorride
    >
    > Forse non hai capito bene... parlano di MICROSOFT
    > e
    > VISTA...
    > (software) non di macbook (hardware) e in ogni
    > caso qualunque hardware (compreso il macbook) che
    > faccia girare QUEL software (si parla sempre di
    > Microsoft) ha quel problema... chi NON fa girare
    > quel software NON ha quel problema (quale che sia
    > l'hardware macbook o
    > no)!
    > Magari avrà ALTRI problemi ma quello (lo stesso)
    > proprio
    > no!
    > Concludendo:
    > Cosa c'entra il macbook?
    > Quale è la parte del ragionamento ti era sfuggita?

    a te invece non è balenato per la mente che si riferisse al fatto che chi ha vinto il MBA inveec non lo ha messo su ebay perchè secondo Mex (macaco convinto) chi lo ha vinto lo ha ritenuto degno di tenerselo?
    chi ha vinto il poratile fujistsu con vista invece ha provato a venderlo subito....
    e quel MBA avrebeb potuto venderlo a carissimo prezzo!
    non+autenticato
  • esatto!Sorride
    MeX
    16902
  • - Scritto da: MeX
    > esatto!Sorride

    Esatto cosa che sei off topic?
    non+autenticato
  • - Scritto da: ullala
    > - Scritto da: MeX
    > > esatto!Sorride
    >
    > Esatto cosa che sei off topic?

    Ma cosa sarebbe OT?
    Il macbook di cui parla MeX era un premio dello stesso concorso!
    Uby
    893
  • - Scritto da: Uby
    > - Scritto da: ullala
    > > - Scritto da: MeX
    > > > esatto!Sorride
    > >
    > > Esatto cosa che sei off topic?
    >
    > Ma cosa sarebbe OT?
    > Il macbook di cui parla MeX era un premio dello
    > stesso
    > concorso!
    L'articolo parla della messa in vendita di un PC con l'exploit sopra (eventualmente da copiare e utilizzare) cosa evidentemente diversa dal concorso.
    Il mac (ovviamente) non può contenere il crack per vista (cosa di cui parla l'articolo)
    Leggi il titolo:
    "Bloccata l'asta del laptop con Vista crackato"
    E ora dimmi qualr è la parte di "laptop con Vista crackato" che non ti è chiara?
    non+autenticato
  • - Scritto da: Namero
    > - Scritto da: ullala
    > > - Scritto da: MeX
    > > > invece il macbook air non se lo sono tenutoSorride
    > >
    > > Forse non hai capito bene... parlano di
    > MICROSOFT
    > > e
    > > VISTA...
    > > (software) non di macbook (hardware) e in ogni
    > > caso qualunque hardware (compreso il macbook)
    > che
    > > faccia girare QUEL software (si parla sempre di
    > > Microsoft) ha quel problema... chi NON fa girare
    > > quel software NON ha quel problema (quale che
    > sia
    > > l'hardware macbook o
    > > no)!
    > > Magari avrà ALTRI problemi ma quello (lo stesso)
    > > proprio
    > > no!
    > > Concludendo:
    > > Cosa c'entra il macbook?
    > > Quale è la parte del ragionamento ti era
    > sfuggita?
    >
    > a te invece non è balenato per la mente che si
    > riferisse al fatto che chi ha vinto il MBA inveec
    > non lo ha messo su ebay perchè secondo Mex
    > (macaco convinto) chi lo ha vinto lo ha ritenuto
    > degno di
    > tenerselo?

    Dei fanboy ne ho piene le tasche così come dei loro avvocati
    Vorrei tanto che ti fosse "balenato" che l'argomento è off topic!
    Arrabbiato
    non+autenticato
  • e allora se è tanto offtopic e fastidioso ignoralo...
    MeX
    16902
  • - Scritto da: MeX
    > e allora se è tanto offtopic e fastidioso
    > ignoralo...

    Come tu ignori il contenuto dell'articolo?
    "Bloccata l'asta del laptop con Vista crackato"
    C'è qualche differenza tra Vista e Mac che non ti è chiara?
    Le parola laptop con Vista somigliano a Apple?
    O ti ricordano OSX?
    C'entra qualcosa il Mac con Vista?
    Oppure la tua preoccupazione è che devi per forza informare la platea che sei un utente di Apple?
    No.. perchè sarei curioso di capire quale è la relazione tra il fatto che tu usi (o meno) un mac e l'articolo che parla di un tentativo di raggranelare qualche lira da un buco (tra i tanti) di Vista!

    Pensaci! e informaci tutti (mi raccomando eh!) siamo ansiosi di sapere tutti a questo punto perchè dovremmo essere interessati al fatto che tu usi un mac (o qualunque altra cosa)!

    Se credi possiamo gioire assieme del fatto che io abbia una giacca blu di Ferre (che non ho mai messo all'asta) oppure che ho vinto (compilando un questionario/contest e senza metterlo all'asta) un utilissimo cavo avvolgibile per il modem/fax e altre amenità del genere non trovi?
    non+autenticato
  • non è assolutamente off-topic, se non hai seguito le notizie degli ultimi giorni, evita di inondare il thread con commenti inutili scritti peraltro in tono offensivo, please Con la lingua fuori
    non+autenticato
  • secondo me la vulnerabilità in questione era già pronta da tempo e non l'hanno "scoperta" in quel contensto. Per farsi pubblicità hanno usato quel contest per far vedere che avevano trovato una vulnerabilità. Inoltre non è possibile che si tratti di vulnerabilità di tipo heap overflow o buffer overflow ma più di qualche errore di flash nella gestione di alcune particolari opzioni all'interno di un singolo filmato flash.
  • - Scritto da: alfredo.melloni
    > secondo me la vulnerabilità in questione era già
    > pronta da tempo e non l'hanno "scoperta" in quel
    > contensto. Per farsi pubblicità hanno usato quel
    > contest per far vedere che avevano trovato una
    > vulnerabilità. Inoltre non è possibile che si
    > tratti di vulnerabilità di tipo heap overflow o
    > buffer overflow ma più di qualche errore di flash
    > nella gestione di alcune particolari opzioni
    > all'interno di un singolo filmato flash.

    E pensi giusto: infatti bastava leggere gli articoli in inglese e lo raccontano loro stessi...
    krane
    22544
  • Dunque abbiamo tutti il plugin flash bacato.
    Dovremo attendere la fine della gara per avere un aggiornamento?
    non+autenticato
  • disinstalliamolo
    non+autenticato
  • - Scritto da: Mr Antivirus
    > Dunque abbiamo tutti il plugin flash bacato.
    > Dovremo attendere la fine della gara per avere un
    > aggiornamento?

    Parla per te.
    Io non ho quel plugin flash.
    non+autenticato
  • - Scritto da: Mr Antivirus
    > Dunque abbiamo tutti il plugin flash bacato.

    Credo che il baco interessi solo i sistemi Microsoft, sbaglio ?
    11237
  • sigh, il tuo "NoFastMem" mi riporta all'Amiga.....
    bei tempi.

    Sorride
    non+autenticato
  • - Scritto da: io me
    > sigh, il tuo "NoFastMem" mi riporta all'Amiga.....
    > bei tempi.
    >
    > Sorride

    Lo faccio apposta, per ricordare la quantita' di alternativa che c'erano 20 anni fa, e l'appiattimento informatico di oggiTriste ...
    11237
  • - Scritto da: Giambo
    > - Scritto da: io me
    > > sigh, il tuo "NoFastMem" mi riporta
    > all'Amiga.....
    > > bei tempi.
    > >
    > > Sorride
    >
    > Lo faccio apposta, per ricordare la quantita' di
    > alternativa che c'erano 20 anni fa, e
    > l'appiattimento informatico di oggiTriste
    > ...
    Sono uno di quelli che può ricordare molto bene l'era informatica della 2░ metà degli anni 80 e di tutti i lustri seguenti fino ad oggi e sinceramente trovo 10mila volte meglio la tecnologia di oggi rispetto a quella appunto di quell'epoca, sia come hw che come sw,
    e non mi sembra che oggi sia poi tanto "piatta"
    poi tutto questo IMHO ok?Sorride
    LROBY
    lroby
    5311
  • a quanto si legge in giro (altri blog) sembra di no: è un bug cross-platform
    non+autenticato
  • - Scritto da: Veronello
    > a quanto si legge in giro (altri blog) sembra di
    > no: è un bug
    > cross-platform

    Non solo altri blog: l'autore stesso dell'exploit è convinto che con qualche modifica si possano forzare sia macos che linux.
    non+autenticato
  • sbagli.
    riguarda flash
  • - Scritto da: battagliacom
    > sbagli.
    > riguarda flash

    Quindi lo stesso attacco e' perpetrabile contro Mac e contro Linux ?
    11237