Mauro Vecchio

Charlie Miller e le venti aperture di OSX

L'esperto di sicurezza si prepara studiando i punti deboli del sistema operativo montato sui Mac. Il risultato sono due decine di vulnerabilità, che solo per caso non sono ancora finite nelle mani sbagliate

Roma - C'è un articolo apparso sulla sezione dedicata alla sicurezza informatica del sito Heise Online. Ha un curioso titolo, Mac OSX: più sicuro, ma meno sicuro. Un articolo che ha riportato alcune dichiarazioni dell'esperto Charlie Miller, già noto per aver scoperto alcuni bug nel sistema operativo made in Cupertino ed essersi portato a casa il premio nella passata edizione dell'ormai celebre competizione hacker pwn2own.

Secondo Miller, Mac OSX sarebbe più sicuro dal momento che Apple ha in questi anni tanto insistito su una significativa affidabilità del suo sistema operativo rispetto a quello di Microsoft. Basata anche sul fatto che non esistono attualmente vulnerabilità generalizzate, precisamente mirate alla creatura software della Mela, anche in virtù di una relativamente scarsa diffusione tra il pubblico consumer rispetto a Windows.

Ma Miller ha anche parlato di un maggiore livello di sicurezza percepito dagli utenti Mac, non sempre corrispondente ad una reale infallibilità del sistema operativo di Cupertino. L'esperto in sicurezza ha infatti annunciato di aver trovato una ventina di falle zero day in OSX, tanto grandi complessivamente da poterci far atterrare sopra un boeing 747.
Miller avrebbe scoperto le venti falle attraverso un vero e proprio bombardamento sui canali in entrata delle applicazioni del sistema operativo. Bombardamento avvenuto con una gigantesca serie di inserimenti malevoli. Secondo Miller ci sarebbero numerosi bug nei componenti open source del sistema operativo di Apple, oltre che nei componenti a codice chiuso sia di terze parti che della Mela.

Tutto ciò potrebbe comportare seri problemi anche da remoto per OSX. "OSX ha una grande superficie vulnerabile - ha spiegato Miller - che risiede nei suoi componenti open come webkit e libz, nei componenti di terze parti come Flash, e infine nei propri come Preview".

Secondo Miller, l'atteggiamento di Apple sul tema sicurezza sarebbe fin troppo rilassato. "Vendono tantissimi computer e nessuno arriva a non comprarli temendo problemi sull'aspetto sicurezza. Quindi, nella loro testa, non esiste un problema sicurezza finché non arrivi a compromettere gli utili. E ciò non è ancora avvenuto".

Apple dormirebbe quindi su comodi guanciali solo perché lontana dal vivo delle malignità informatiche, mentre a Microsoft spetterebbe un appartamento sprangato dall'interno nel quartiere più malfamato degli attacchi automatizzati. Miller ha poi spiegato su Twitter che non intende spiegare nel dettaglio le venti falle - in precedenza era stata annunciata una conferenza nel corso del prossimo CanSecWest - ma solo illustrare come siano state scoperte.

Mauro Vecchio
Notizie collegate
  • SicurezzaUpdate correttivo per iPhoneApple rilascia in 24 ore una patch che risolve un problema legato alla sicurezza
  • TecnologiaApple, iPhone e le catastrofiMentre alcuni esperti mostrano le potenzialità di un nuovo tipo di attacco via SMS, l'azienda di Cupertino tenta di non farsi scappare di mano le redini di OSX per iPhone. Ventilando cataclismi derivati dal jailbreak
  • SicurezzaAndroid, c'è la fallaA svelarla lo stesso hacker che aveva bucato Mac OS X. Il problema sarebbe circoscritto, ma Google è andata su tutte le furie. Android è ancora acerbo?
240 Commenti alla Notizia Charlie Miller e le venti aperture di OSX
Ordina
  • Non era quell'hacker a cui hanno concesso di poter controllare fisicamente il Macbook Air per poter avviare lo script malevolo da lui creato?
  • È un hacker uno che non rilascia pubblicamente gli exploit e fa le markette per la Microsoft?
    non+autenticato
  • PONCI PONCI PO PO PO
    non+autenticato
  • questa l'avevo persa... Shiba il WeekEnd PI non esiste per me... é solo un buon cazzeggio lavorativoSorride

    vabbeh tanto ormai avete detto tutto...

    Ma la scatola di scarpe é piú grande della cassaforte vero?

    Visto che la scatola puó virtualizzare la cassaforte e non viceversa?
    MeX
    16902
  • ... se lo dice Jobs deve essere vero!
    Cosa dite che gli hacker se ne fregano del Mac per via della quota praticamente irrilevante di diffusione.... sono solo malignità, come maligno e di parte è chiunque sostenga che ci siano delle vulnerabilità, anzi inviterei il sig Miller a rendere pubbliche queste presunte falle... tanto i macutenti sono abituati allo stile Taffazzi... bottigliata in più o in meno che differenza volete faccia
  • eccolo!! e' arrivato!!
    bibop
    3451
  • Il titolo è sbagliato.

    Devi scrivere: "Mac inattaccato"
    ruppolo
    33146
  • Il momento è solenne... ti quoto!A bocca aperta
    Mac è inattaccato, non inattaccabile, hai perfettamente ragione!

    Anche su sistemi OS400 et similia si diceva "inattaccabili", poi qualche cosettina è saltata fuori... ovviamente quando se ne stavano in azienda chiusi con solo dei terminali collegati era un po' improbabile che venissero attaccati.
    non+autenticato
  • Aggiungo su AS400... senza contare l'utente QSECOFR che ha come password standard... QSECOFR!

    una volta un tecnico IBM (tanti anni fa) mi ha detto che non era un problema, tanto gli utenti non sapevano che esistesse QSECOFRA bocca apertaA bocca apertaA bocca aperta !!!

    Poi hanno incominciato ad aprire gli AS400 su web, talvolta anche solo con delle applet "emulazione terminale".... risultato: ho "conosciuto" almeno 3 multinazionali con l'emulazione terminale esposta su internet e qsecofr con pwd standard...

    Fate un po' voi...
    non+autenticato
  • E l'hacker in questione su un sito rivela anche che la combinazione infallibile è Windows7+IE8... Impara a leggere le fonti prima di dover dire minchiate di vario genere. Se uno che non rende pubbliche le falle dice che ci sono degli exploit e poi fa la pubblicità ad una qualsiasi compagnia, beh, per me non è un hacker. My 2 cents.
    non+autenticato
  • Credo sia un hacker pagato per dire cazate. Ma è pur sempre un hacker e beato lui che campa di queste cose divertenti.

    E le falle ci sono purtroppo o perfortuna.
    non+autenticato
  • Fuori i nomi Sig. Miller , vogliamo i nomi
    non+autenticato
  • in un laboratorio di bio ingegneria che studia varianti di malattie altamente infettive o in una villetta negli hamptons?

    certo la sicurezza nel laboratorio di bioingegneria e' 10.000 volte piu' stingente ma... chi vive piu' tranquillo e "sicuro" quello che vive nel laboratorio o quello che vive nella villetta??

    N.B. nessun paragone/parallelo tra la situazione sopra e windows o macosx o linux... e' solo per far allargare un po' il concetto di "sicurezza" solo per il fatto che si mac nn ci sia installato "obbligatoriamente" un antivirus fa di un mac un sistema meno "sicuro" per certi aspetti... ma solo per quelli...
    bibop
    3451
  • - Scritto da: bibop
    > in un laboratorio di bio ingegneria che studia
    > varianti di malattie altamente infettive o in una
    > villetta negli hamptons?
    >
    >
    > certo la sicurezza nel laboratorio di
    > bioingegneria e' 10.000 volte piu' stingente
    > ma... chi vive piu' tranquillo e "sicuro" quello
    > che vive nel laboratorio o quello che vive nella
    > villetta??
    >
    > N.B. nessun paragone/parallelo tra la situazione
    > sopra e windows o macosx o linux... e' solo per
    > far allargare un po' il concetto di "sicurezza"
    > solo per il fatto che si mac nn ci sia installato
    > "obbligatoriamente" un antivirus fa di un mac un
    > sistema meno "sicuro" per certi aspetti... ma
    > solo per
    > quelli...


    mettiamola così tu vivi in una villetta negli hamptons, peccato che poco lontano ci sia una centrale nucleare del tipo in opera qualche anno fa a Černobyl, solo che non lo sai....
  • quindi? stiamo ancora a parlare di se e di ma?

    se succede che

    se accade questo

    se qualcuno fa

    se qualcunaltro dice

    se

    se

    se

    se

    se il netbook telefonasse... vivi di "se" io vivo di realta'
    bibop
    3451
  • il mio netbook telefonaA bocca aperta
    non+autenticato
  • quello da 150 euro?
    bibop
    3451
  • e il mio macpro e' costato 900 euro e lo smartphone android 80...
    bibop
    3451
  • lo smartphone con Android a 80€ è interessante. Qualche dettaglio (modello/marca/caratteristiche) visto che l'HTC hce ho io fa leggermente ca+are?
    non+autenticato
  • forse era ironico?
    bibop
    3451
  • Ah! Ah ah ah ah.... ah....ah....
    ...non l'ho capita.
    ma il tuo primo post era ironico o no?
    non+autenticato
  • era sarcasmi nn ironia... particellizzare il concetto di sicurezza eliminando tutto cio' che fa comodo eliminare e' un modo di affrontare sto tema che ha del ridicolo...
    bibop
    3451
  • Non ci credete ?
    Andate su cansecwest.com
    e guardate sul lato destro gli sponsor
    non+autenticato
  • - Scritto da: FUDFUDFUD
    > Non ci credete ?
    > Andate su cansecwest.com
    > e guardate sul lato destro gli sponsor

    Cansecwest è una importantissima conferenza sulla sicurezza digitale, il fatto che Apple non sia tra gli sponsor (mentre c'è google ad esempio) ti fa capire quanto gliene freghi, e i risultati si vedono.
    non+autenticato
  • - Scritto da: nome e cognome

    > Cansecwest è una importantissima conferenza sulla
    > sicurezza digitale, il fatto che Apple non sia
    > tra gli sponsor (mentre c'è google ad esempio) ti
    > fa capire quanto gliene freghi, e i risultati si
    > vedono.

    tipo?
    Non mi risultano virus o attacchi ai sistemi Mac...
    dove si vedrebbero questi risultati?
  • > tipo?
    > Non mi risultano virus o attacchi ai sistemi
    > Mac...
    > dove si vedrebbero questi risultati?

    spera che gli utenti mac rimangano 4 gatti....
    non+autenticato
  • - Scritto da: Vega
    > > tipo?
    > > Non mi risultano virus o attacchi ai sistemi
    > > Mac...
    > > dove si vedrebbero questi risultati?
    >
    > spera che gli utenti mac rimangano 4 gatti....

    n'altra volta...?
    guarda che lo stesso Miller ha escluso questa ragione
  • > n'altra volta...?
    > guarda che lo stesso Miller ha escluso questa
    > ragione

    Gia.. l'ha proprio escluso.

    "For now, I'd still recommend Macs for typical users as the odds of something targeting them are so low that they might go years without seeing any malware, even though if an attacker cared to target them it would be easier for them."
    non+autenticato
  • E' tornato a piangere dalla mammina sadness with him!!!!!!
    non+autenticato
  • beh almeno non usa 10 nick diversi per trollareA bocca aperta
  • Beh tu fai tanto il professore, che contesti addirittura la visione di Miller, come se fossi chissà che personalità nel mondo dell'informatica.... Mo Miller è uno stolto... Ti brucia che consiglia Windows 7 con Ie8, ti brucia che nella tua vita non hai capito mai niente... A fallito!
    non+autenticato
  • - Scritto da: observer
    > E' tornato a piangere dalla mammina sadness with
    > him!!!!!!

    ho inondato la camera di lacrime...
    ripassa quando riesci a dire due parole intelligenti di fila
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)