Sono bastati 120 secondi a Charlie Miller, Mark Daniel e Jake Honoroff di Indipendent Security Evalutarors ( ISE , per mostrare la falla da loro scoperta nel sistema operativo Mac OS X 10.5.2 ai giurati dell’ edizione 2008 di PWN to OWN . Due minuti per acquisire il controllo della macchina – un MacBook Air – aggiudicarsela e portarsi a casa anche un assegno da 10mila dollari. Dopo qualche ora anche Vista sarebbe caduto, mentre sembrerebbe che Linux abbia superato indenne la sfida lanciata da CanSecWest anche quest’anno.
Il MacBook Air, assieme ad un Sony Vaio TZ37 con Ubuntu 7.1 e un Fujitsu U810 con Vista aggiornato al SP1, avevano passato indenni le prime 24 ore di sfida, quelle in cui solo gli exploit in remoto erano possibili. Nessuno era stato in grado di aggiudicarsi il premio da 20mila dollari messo in palio per questo tipo di vulnerabilità. A partire dal secondo giorno di gara, le regole si erano fatte più permissive: un minimo di interazione diretta con il computer, come l’apertura di una email o la visita ad un sito, era consentita.
Proprio sfruttando un link inserito in una email, Miller (in fotografia) e soci hanno spedito il MacBook Air su una pagina da loro appositamente preparata per l’occasione: in pochi attimi il sistema era sotto il loro controllo.
Non è chiaro se il problema sia attribuibile a Safari, browser di default in ambiente Mac OS, o ad un componente di sistema come Quicktime (che lo scorso anno aveva mostrato una falla che aveva permesso al socio dei vincitori, Dino Dai Zovi, di aggiudicarsi il premio): non è stato neppure svelato se la falla faccia parte del codice open source su cui si basa Safari, o se invece si tratti della parte “proprietaria” del browser di Cupertino. I dettagli sul problema non sono stati rivelati, e gli organizzatori hanno provveduto ad informarne immediatamente Apple: gli utenti quindi non corrono gravi pericoli, visto che nessuno – a parte gli scopritori e quelli di CanSecWest – sono a conoscenza di quale sia il vero punto debole.
A quanto pare , i tre avevano lavorato al problema per almeno una settimana: si erano concentrati su Mac OS, e si erano dati da fare per pensare a come violare il sistema. Secondo quanto riferito, ci sarebbero voluti un paio di giorni per scovare un varco nel codice, e il doppio per realizzare un appropriato exploit per sfruttarlo. Tecnici Apple, ha riferito l’organizzazione, sarebbero già al lavoro per risolvere il problema.
Per veder cadere Windows Vista si è dovuto attendere il terzo giorno , quando ai partecipanti è stato concessa la possibilità di fare leva anche su celebri applicazioni di terze parti comunemente installate sulla maggioranza dei PC. Shane Macaulay – ritratto a destra nella foto con l’amico Alexander Sotirov, l’anno scorso al fianco di Dai Zovi – di Security Objectives si è portato a casa il laptop Fujitsu e 5mila dollari, si dice grazie ad un problema scovato nel codice di Flash sfruttato attraverso Java.
Macaulay non aveva fatto i compiti a casa con la stessa diligenza dei suoi colleghi: ci sono volute diverse ore solo per consentire al codice del suo exploit di girare sulla macchina bersaglio, pare perché l’hacker non aveva tenuto conto, nei suoi esperimenti, del recente Service Pack 1 per Vista. Il suo hack ha necessitato di alcune modifiche per poter risultare efficace, ma l’aver fatto leva su Flash e Java dovrebbe renderlo potenzialmente un problema per tutte le piattaforme su cui il software di Adobe è presente.
Niente da fare, invece, per il Sony Vaio con Linux. Nonostante i partecipanti avessero individuato alcune falle, nessuno pare abbia voluto infierire sviluppando un exploit in grado di sfruttarle: “Sono sorpresa che non sia stato assegnato” ha detto Terri Forslof, portavoce degli organizzatori. La spiegazione più accreditata è che gli hacker impegnati sulla piattaforma open source non abbiano voluto agire contro i loro colleghi per ragioni etiche.
Luca Annunziata
( fonte immagini )