Alessandro Del Rosso

Pwn2Own, cadono quasi tutti

Vanno giù al primo round: iPhone, Safari, Firefox e IE8. Sopravvive Chrome, al momento snobbato dagli hacker. C'è anche un vincitore italiano

Roma - La scorsa notte si è svolta la prima delle tre sessioni del Pwn2Own, l'ormai nota competizione di hacking che si tiene in seno alla conferenza sulla sicurezza CanSecWest. In questa prima giornata sono caduti sotto i colpi degli hacker Safari su iPhone, Safari 4 su Mac OS X, Firefox 3 e Internet Explorer 8 su Windows 7.

Ai ricercatori di sicurezza Vincenzo Iozzo e Ralf Philipp Weinmann sono bastati appena 20 secondi per espugnare iPhone via Safari. Lo hanno fatto avvalendosi di un exploit che, a loro dire, ha richiesto circa due settimane di lavoro. Nel corso del contest tale exploit è stato inglobato all'interno di una pagina web che, una volta aperta in Safari, ha permesso ai due ricercatori di aggirare le protezioni di iPhone 2.0 e, senza alcun altro intervento da parte dell'utente, inviare ad un server remoto l'intero database degli SMS spediti, ricevuti e persino cancellati. Gli autori dell'exploit affermano che questo stesso metodo di attacco potrebbe essere utilizzato per sottrarre altri contenuti personali, come contatti, email e foto.

Iozzo e Weinmann hanno ammesso che crackare iPhone è stato tutt'altro che facile, soprattutto per via della sua robusta sandbox, che limita le azioni degli hacker anche dopo che questi hanno guadagnato l'accesso al sistema. Per riuscire a sfruttare con successo la vulnerabilità da loro scoperta, i due ricercatori si sono avvalsi di una particolare tecnica di programmazione chiamata return-oriented, tecnica mai dimostrata prima su un processore ARM.
Stando a PCWorld, quello di Iozzo e Weinmann è il primo exploit pienamente funzionante per iPhone da quando, nel 2008, Apple rilasciò la versione 2.0 del proprio sistema operativo mobile. Lo scorso anno Weinmann aveva già tentato un'impresa simile, ma all'ultimo momento si ritirò dalla competizione perché scoprì che il suo exploit funzionava esclusivamente con gli iPhone jailbroken.

Vale la pena citare come Iozzo sia uno studente del Politecnico di Milano attualmente impiegato come ricercatore presso la società tedesca Zynamics. Weinmann è invece un ricercatore dell'Università di Lussemburgo che nel 2007 aveva dimostrato, insieme ad altri due colleghi, come fosse possibile crackare il protocollo di sicurezza WEP in tempi molto più brevi di quanto all'epoca si ritenesse possibile.

A compromettere Mac OSX è stato invece l'esperto di sicurezza Charlie Miller, di Baltimora, già noto per aver bucato il sistema operativo di Apple nelle edizioni 2008 e 2009 del Pwn2Own. Anche in questo caso Miller è riuscito ad ottenere il controllo di OSX per mezzo di un exploit inglobato in una pagina web: quando aperta in Safari, la pagina ha causato il crash del browser e ha consentito l'esecuzione dell'exploit. L'attacco è stato testato su un MacBook Pro, ed è valso a Miller un premio di 10mila dollari. Secondo gli organizzatori dell'evento, Miller è il primo a vincere il Pwn2Own tre volte consecutive.

A far cadere IE8, e insieme a lui Windows 7, è stato il freelance olandese Peter Vreugdenhil, il quale partecipa al Pwn2Own per la prima volta. Questo ricercatore ha sferrato alla piattaforma di Microsoft un sofisticato attacco suddiviso in quattro parti che, sfruttando due vulnerabilità di IE8, gli ha permesso di bypassare le protezioni ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention) di Seven. L'impresa è valsa a Vreugdenhil il secondo premio di 10mila dollari.

È riuscito ad aggiudicarsi la stessa cifra lo studente tedesco Nils (noto col solo nome di battesimo), il quale è stato capace di bucare Firefox 3 sotto Windows 7 x64 e, similmente a Vreugdenhil, ad evadere ASLR e DEP: grazie al suo exploit, Nils ha eseguito il programma calc.exe, dimostrando la capacità di lanciare un qualsiasi comando di Windows. Al momento non è chiaro se l'exploit di Nils funzioni anche con le più recenti versioni 3.x di Firefox, quali la 3.5 e la 3.6.

Nel corso della prima giornata del Pwn2Own l'unico browser a non aver subito l'onta dell'hacking è stato Chrome 4. A parere di molti esperti, a rendere il browser di Google particolarmente resistente agli attacchi è la sua architettura basata su sandbox, concepita per impedire l'esecuzione di codice che apporto modifiche persistenti al sistema operativo o che acceda a dati sensibili. Secondo un beta tester di questo browser, poi, Chrome si può avvantaggiare del fatto che è stato scritto da zero, e non contiene dunque codice legacy, e che ha una diffusione ancora molto modesta, caratteristica che lo renderebbe poco interessante agli occhi dei bug hunter.

Ma il Pwn2Own non è ancora finito: nei prossimi due giorni i ricercatori che partecipano all'evento potranno sfruttare anche bug presenti nei plugin dei browser e in versioni di Windows meno recenti, come Vista e XP.

Va ricordato come, da regolamento, la proprietà intellettuale di tutti gli exploit che vengono premiati al Pwn2Own viene acquisita dall'organizzatrice del contest, TippingPoint, la quale si impegna a collaborare con i vendor interessati dalla vulnerabilità e a non divulgarne i dettagli prima della disponibilità di una patch ufficiale.

Alessandro Del Rosso
Notizie collegate
  • SicurezzaPwn2Own, quarta edizioneIl mese prossimo sarà aperta la caccia a bug e falle zero-day. Con premi più cospicui e smartphone sempre più moderni da testare
234 Commenti alla Notizia Pwn2Own, cadono quasi tutti
Ordina
  • da quel quel che leggo deduco: come rosicano sti macachi!
    non+autenticato
  • Le fantomatiche protezioni di IE8, hann fatto cilecca al recente Pwn2Own, adesso tali sistemi prottetivi vengono ridimensionati/sminuiti ufficialmente dalla stessa Microsoft che li classifica solo come elementi di disturbo/ostacolo, che strano qualche utente su questo sito sosteneva che DEP e ASRL rendevano IE8 immune alle 0day.. Rotola dal ridere

    http://www.webnews.it/news/leggi/12670/microsoft-d.../
  • - Scritto da: gnulinux86
    > Le fantomatiche protezioni di IE8, hann fatto
    > cilecca al recente Pwn2Own, adesso tali sistemi
    > prottetivi vengono ridimensionati/sminuiti
    > ufficialmente dalla stessa Microsoft che li
    > classifica solo come elementi di
    > disturbo/ostacolo, che strano qualche utente su
    > questo sito sosteneva che DEP e ASRL rendevano
    > IE8 immune alle 0day..
    > Rotola dal ridere
    >
    > http://www.webnews.it/news/leggi/12670/microsoft-d

    Non voglio difendere MS nè tantomeno IE8, tuttavia l'articolo che posti dice una cosa giustissima e cioè che ogni forma di protezione non è assoluta ma semplicemente un ostacolo, in altre parole si diminuiscono le probabilità di rischio o, come dice qualcuno, si diminuisce la "superficie d'attacco".
    Quello piuttosto da criticare è se qualcuno in precedenza ha detto il contrario, cioè che DEP e ASRL avrebbero risolto i problemi in maniera definitiva, è probabile che l'abbiano fatto visto gli annunci di MS che si rifanno più spesso al marketing che al tecnico. Del resto mi sembra che tutte le aziende hanno un reparto marketing (tipo Apple per dirne una), oppure le stesse pubblicità che vediamo in tv dicono delle cose assurde ma non ho mai visto nessuo protestare sul fatto che il rotolo di cartaigienica era meno lungo di quello che si vedeva in tv o che non era vera che bevendo una certa bibita ho iniziato a volare!
    In sostanza, MS le spara e sbaglia a farlo, se noi tecnici ci crediamo però siamo anche un pò ingenui.
    non+autenticato
  • Credo che tutti i browser dovranno avere la modalità protetta è i processi separati, DEP e ASRL sono strumenti utili, ma non risolvono i problemi, all'inizio furono presentati come prodotti incredibili da impedire qualsiasi exploit basta leggere gli articoli di Iatini sul suo blog, ma adesso la stessa Ms ha dovuto fare chiarezza.
  • Non si parla di OPERA e LINUX?
    Come vanno intesi?
    ... (silezio assordante)
    non+autenticato
  • Q: In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?

    A: No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The organizers don’t choose to use Linux because not that many people use it on the desktop. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.

    http://www.oneitsecurity.it/01/03/2010/interview-w.../

    - Scritto da: vac
    > Non si parla di OPERA e LINUX?
    > Come vanno intesi?
    > ... (silezio assordante)
    non+autenticato
  • "The organizers don’t choose to use Linux because not that many people use it on the desktop."

    1. Linux e' usato quanto Mac.
    2. Una vulnerabilità del browser è una cosa, poi per far danni nel sistema occorre altro. (password di root)
    3. Non mi dici nulla di Opera?
    non+autenticato
  • - Scritto da: vac
    > 1. Linux e' usato quanto Mac.

    A si? http://en.wikipedia.org/wiki/Usage_share_of_operat...

    > 2. Una vulnerabilità del browser è una cosa, poi
    > per far danni nel sistema occorre altro.
    > (password di root)

    Cosa vuoi dire? La tua affermazione vale per tutti i so che hanno un untente amministratore (quindi tutti gli unix like e da WinNT in su).
    Cmq la competizione in oggetto non prevede danni al sistema.

    > 3. Non mi dici nulla di Opera?

    Per opera e per gli altri browser valgono le stesse considerazioni fatte per chrome. Cioè il fatto che nessuno in questa competizione abbia provato a bucarli non è assolutamente dovuto al fatto che sono esenti da bug. Se viene usato Flash come vettore ed esiste Flash per un certo browser il browser è potenzialmente vulnerabile.
    non+autenticato
  • Se vuoi prendere la scusa delle statistiche di diffusione XP è molto + usato di Win7
    Se invece vuoi fare un test serio di sicurezza non puoi snobbare i sistemi notoriamente + sicuri.
    Con questo non dico che Linux ed Opera siano infallibili ma se vuoi fare una gara devono poter partecipare tutti.
    -
    P.S. Quale versione di Firefox è stata usata?
    non+autenticato
  • Io purtroppo non ho i dati, ma non credo che Linux ed Opera siano stati esclusi, semplicemente sono stati snobbati.

    - Scritto da: vac
    > Se vuoi prendere la scusa delle statistiche di
    > diffusione XP è molto + usato di
    > Win7
    > Se invece vuoi fare un test serio di sicurezza
    > non puoi snobbare i sistemi notoriamente +
    > sicuri.
    > Con questo non dico che Linux ed Opera siano
    > infallibili ma se vuoi fare una gara devono poter
    > partecipare
    > tutti.
    > -
    > P.S. Quale versione di Firefox è stata usata?
    non+autenticato
  • semplicemente perchè 2 anni fa linux restò inviolato ed evidentemente questo fece bruciare il bucio a qualche produttore di sistemi-operafuffa ultrabacati
    non+autenticato
  • - Scritto da: vac
    > "The organizers don’t choose to use Linux because
    > not that many people use it on the
    > desktop."
    >
    > 1. Linux e' usato quanto Mac.

    Eh si, nei sogni bagnati di qualsiasi linaro.

    > 2. Una vulnerabilità del browser è una cosa, poi
    > per far danni nel sistema occorre altro.
    > (password di
    > root)

    Eggià perchè il furto di carta di credito, lo spamming, la perdita di dati personali non sono danni...

    > 3. Non mi dici nulla di Opera?

    La stessa cosa che ti dice di linux, non lo usa nessuno quindi non è stato preso in considerazione.
    non+autenticato
  • - Scritto da: nome e cognome

    > Eh si, nei sogni bagnati di qualsiasi linaro.
    >

    quindi le installazioni server non le stai contando vero?

    > Eggià perchè il furto di carta di credito, lo
    > spamming, la perdita di dati personali non sono
    > danni...
    >

    per fare tutte queste cose spessissimo ti server un rootkit kernelmode quindi loggarti come root per installarlo

    >
    > > 3. Non mi dici nulla di Opera?
    >
    > La stessa cosa che ti dice di linux, non lo usa
    > nessuno quindi non è stato preso in
    > considerazione.

    vai in Russia e poi vediamo se non lo usa nessuno
    non+autenticato
  • > quindi le installazioni server non le stai
    > contando
    > vero?

    Secondo te quante unità cuba il mercato server?

    > > Eggià perchè il furto di carta di credito, lo
    > > spamming, la perdita di dati personali non sono
    > > danni...
    > >
    >
    > per fare tutte queste cose spessissimo ti server
    > un rootkit kernelmode quindi loggarti come root
    > per
    > installarlo

    Non dire vaccate. Non ti serve alcun rootkit per installare un programma che parte all'avvio del tuo utente con privilegi locali.

    > > La stessa cosa che ti dice di linux, non lo usa
    > > nessuno quindi non è stato preso in
    > > considerazione.
    > vai in Russia e poi vediamo se non lo usa nessuno

    Eh sti russi... tutti con opera, gli unici al mondo che lo usano più di esplorer, e a nessuno viene in mente che statcounter possa aver sbagliato a rilevare.
    non+autenticato
  • - Scritto da: nome e cognome

    > Secondo te quante unità cuba il mercato server?
    >

    sicuramente centinaia di milioni se consideri che solo google ha mezzo milione di server


    > Non dire vaccate. Non ti serve alcun rootkit per
    > installare un programma che parte all'avvio del
    > tuo utente con privilegi
    > locali.
    >

    ti serve per installare l'helper di ie che rubacchia le password però
    >
    > Eh sti russi... tutti con opera, gli unici al
    > mondo che lo usano più di esplorer, e a nessuno
    > viene in mente che statcounter possa aver
    > sbagliato a
    > rilevare.

    vogliamo allora parlare della Cina dove hitslink sostiene che è tutto windows quando non ha dati sufficienti?
    non+autenticato
  • Certo che questa competizione è proprio una farsa...

    Questa cosa di violare un OS vecchio di un anno che praticamente nessuno usa più dato che il 99% delle applicazioni sullo store sono 3.x compatibili... non sta ne in cielo ne in terra!

    É proprio una messinscena per poter dire che iPhone è stato violato e non è sicuro mentre invece questo non corrisponde alla realtà.

    Oggi siamo arrivati all'OS 3.1.3 e gli ultimi 3 aggiornamenti sono stati tutti mirati alla sicurezza.

    Se la competizione fosse seria ci dovrebbe essere una regola di buonsenso che impedisca di provare a violare software obsoleti e già patchati. iPhone, come Firefox come IE8.

    <troll>

    Ah già! IE8 è l'ultima versione... Ficoso

    </troll>

    Fan LinuxFan Apple
  • - Scritto da: FinalCut
    > Certo che questa competizione è proprio una
    > farsa...

    http://arstechnica.com/security/news/2010/03/ie8-s...
    non+autenticato
  • guarda che hanno bucato un iphone 3gs 3.1.3, non fare il solito trollone
    non+autenticato
  • - Scritto da: Gurzo2007
    > guarda che hanno bucato un iphone 3gs 3.1.3, non
    > fare il solito
    > trollone

    Io non trollo, lo ha scritto Alessandro Del Rosso nell'articolo, ma magari tu non sai leggere...

    http://punto-informatico.it/2841144/PI/News/pwn2ow...
    una pagina web che, una volta aperta in Safari, ha permesso ai due ricercatori di aggirare le protezioni di iPhone 2.0 e, senza alcun altro intervento


    Fan LinuxFan Apple

    PS: che hanno bucato iPhone 3.x l'ho capito solo dopo
  • no prenderla con Gurzo prenditela con quell'incompetente di Del Rosso che scrive cogli0nat3
    non+autenticato
  • Pur di difendere Apple ti inventi le cose. Suvvia abbi un po' di dignità!
    non+autenticato
  • - Scritto da: observer
    > Pur di difendere Apple ti inventi le cose. Suvvia
    > abbi un po' di
    > dignità!


    Magari invece lo ha scritto Alessandro Del Rosso nell'articolo e non l'ho detto io...

    http://punto-informatico.it/2841144/PI/News/pwn2ow...
    una pagina web che, una volta aperta in Safari, ha permesso ai due ricercatori di aggirare le protezioni di iPhone 2.0 e, senza alcun altro intervento


    E tu abbi la dignità di capire che non sai nemmeno leggere un articolo di PI.

    Fan LinuxFan Apple

    PS: che hanno bucato iPhone 3.x l'ho capito solo dopo
  • - Scritto da: FinalCut
    > Certo che questa competizione è proprio una
    > farsa...
    >
    > Questa cosa di violare un OS vecchio di un anno
    > che praticamente nessuno usa più dato che il 99%
    > delle applicazioni sullo store sono 3.x
    > compatibili... non sta ne in cielo ne in
    > terra!
    >
    > É proprio una messinscena per poter dire che
    > iPhone è stato violato e non è sicuro mentre
    > invece questo non corrisponde alla
    > realtà.
    >
    > Oggi siamo arrivati all'OS 3.1.3 e gli ultimi 3
    > aggiornamenti sono stati tutti mirati alla
    > sicurezza.
    >
    > Se la competizione fosse seria ci dovrebbe essere
    > una regola di buonsenso che impedisca di provare
    > a violare software obsoleti e già patchati.
    > iPhone, come Firefox come
    > IE8.
    >
    > <troll>
    >
    > Ah già! IE8 è l'ultima versione... Ficoso
    >
    > </troll>
    >
    > Fan LinuxFan Apple


    Visto che adesso hai capito che hanno bucato iPhone 3.1.3, come cambia il tuo commento iniziale? Hai detto con ironia che IE8 è l'ultima versione, come ti senti adesso che hai scoperto che il tuo bel iphone ultima versione con tanto di ultimi 3 aggiornamenti mirati alla sicurezza è stato BUCATO tanto quanto l'IE8???

    Non voglio commentare o fare confronti tra sistemi e browser, voglio solo far notare quanto siano di parte questi commenti e ridicole queste guerre di religione, veramente, dacci un tuo commento aggiornato.
    non+autenticato
  • > guerre di religione, veramente, dacci un tuo
    > commento
    > aggiornato.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: nome e cognome
    > > guerre di religione, veramente, dacci un tuo
    > > commento
    > > aggiornato.
    >

    Goditi il tuo capo:

    Clicca per vedere le dimensioni originali

    Fan LinuxFan Apple
    -----------------------------------------------------------
    Modificato dall' autore il 30 marzo 2010 00.12
    -----------------------------------------------------------
  • > Goditi il tuo capo:
    >
    > Clicca per vedere le dimensioni originali
    non+autenticato
  • nel mio iPhone c'è l'OS 3.0, perchè questi hanno craccato una versione obsoleta?
    non+autenticato
  • Hanno anche usato la versione vecchia di Firefox ecc...

    Usano solo le versioni di per le quali sono note le vulnerabilità utili per il concorso... le versioni sicure non le cagano nemmeno XD

    Per esempio Chrome non credo sia sicuro al 100% (nulla lo è) ma girano pochi exploit, e quindi per vincere il concorso non è furbo tentare di violarlo...
    non+autenticato
  • - Scritto da: Andreabont
    > Hanno anche usato la versione vecchia di Firefox
    > ecc...
    >
    > Usano solo le versioni di per le quali sono note
    > le vulnerabilità utili per il concorso... le
    > versioni sicure non le cagano nemmeno
    > XD
    >
    > Per esempio Chrome non credo sia sicuro al 100%
    > (nulla lo è) ma girano pochi exploit, e quindi
    > per vincere il concorso non è furbo tentare di
    > violarlo...

    Usano, come scritto sul sito, la latest version di ogni prodotto.
    Quindi hanno riportato solo la major.
    Per l'iphone è un errore dell'articolo, il 3GS è stato commercializzato con la 3.0
    non+autenticato
  • è sbagliato l'articolo...hanno bucato un 3gs 3.1.3
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)