Pwn2Own: battuto il Mac con Safari

di |
logomacitynet696wide

Nella gara tra browser, l’esperto di sicurezza Charlie Miller ha ripetuto la sua “performance” presentandosi alla CanSecWest conference con un metodo che gli ha permesso di “craccare” Safari sotto Mac OS X. Il metodo ha permesso al ricercatore di portarsi a casa il premio e subito si sono scatenate discussioni sul fatto che il Mac è meno sicuro. Quelli che molti dimenticano di dire è che il buco sfruttato da Miller è un bug di una libreria open-source e in realtà  la vulnerabilità  è utilizzabile con molti altri browser…

Nella gara per scoprire buchi di sicurezza di quest’anno, due delle competizioni riguardavano i computer. Secondo quanto riportato nel sito della manifestazione, i sistemi messi a disposizione erano un Sony Vaio con una prerelease di Windows 7 sulla quale erano installati la beta di Explorer 8, FireFo, Google Chrome e un MacBook con Safari e Firefox.

Come già  accaduto gli anni passati, nei tre giorni che avevano a disposizione i concorrenti, il regolamento prevedeva l’allentamento delle regole con il passare del tempo: si cominciava cercando metodi per sferrare l’attacco solo tramite il browser per passare poi a vulnerabilità  di Flash, Java, .Net e QuickTime il secondo giorno, finendo alla ricerca di vulnerabilità  in Acrobat Reader il terzo giorno.

La gara Pwn2Own è stata presentata come una sorta di duello tra i browser per Mac e Windows; nella competizione dello scorso anno era previsto anche Linux ma * secondo quanto riporta IDG – i partecipanti alla manifestazione con le competenze per “craccare” Linux, “non desiderano sviluppare e rendere note le vulnerabilità  che permetterebbero di vincere la gara”.

L’affermazione di IDG evidenzia come, in effetti, i browser e le piattaforme coinvolte non sono trattate allo stesso modo. Gli esperti di sicurezza e i ricercatori di vulnerabilità , arrivano sfruttando falle che hanno individuato prima e non sono state rese note. Rendendo note in anticipo le vulnerabilità , infatti, i produttori potrebbero tappare prima le falle ma così facendo chi scopre le falle non potrebbe guadagnare il premio, e non avere alcun incentivo alla ricerca della vulnerabilità .

Come vincitore del premio, Miller ha ottenuto i diritti di riportare la vulnerabilità  di Safari alla Zero Day Initiative, che coordina la gestione delle scoperte e le possibili patch con il produttore. Quando una vulnerabilità  è riportata ad Apple, quest’ultima indica nelle note di rilascio delle patch o degli aggiornamenti il nome di chi ha fatto la scoperta.

Nella competizione dello scorso anno, Miller attaccò Safari sfruttando vulnerabilità  delle Perl Compatible Regular Expression, librerie open source usate dall’engine JavaScript del Web Kit. La stessa tecnica fu usata anche per attaccare l’iPhone (il dispositivo condivide elementi e librerie comuni con il Mac OS X). Apple fa un uso intensivo di software open source, ed è possibile individuare alcune vulnerabilità  anche accedendo al codice sorgente di librerie scoprendo debolezze difficilmente individuabili con altri sistemi. In effetti, a ben vedere, la vulnerabilità  riguarda una libreria di terze parti e non un software di Apple. Lo scorso anno, una vulnerabilità  di Windows Vista fu possibile a causa di una vulnerabilità  del plug-in Flash. Il codice “chiuso” di Vista e altri sistemi rende * più difficile * la scoperta di debolezze intrinseche di sistema.

Nonostante qualcuno voglia far credere il contrario, il ricorso a software open source, permette ad Apple di rilasciare più aggiornamenti rispetto ai concorrenti. Roughly Drafted magazine riporta uno studio del Federal Institute of Technology svizzero secondo il quale, la casa di Cupertino ha rilasciato molti più aggiornamenti di sicurezza rispetto a Microsoft.

Nello studio si evince che tra il 2002 e il 2007, Apple ha rilasciato 815 patch contro le 678 di Microsoft. Nel frangente di tempo analizzato, la casa di Cupertino ha rilasciato cinque nuove versione del sistema operativo (Jaguar, Panther, Tiger, Tiger per PowerPC e Intel, Leopard) e 33 update gratuiti (otto per Jaguar, nove per Panther, undici per Tiger e uno per Leopard), 38 update rilevanti e aggiornamenti di sicurezza, se si escludono Mac OS X Server, l’iPhone e le patch di sicurezza stand alone

In contrasto, Microsoft ha rilasciato nello stesso periodo un totale di sette aggiornamenti, inclusi il Service Pack 1 e 2 per Windows XP, gli SP1, R2 e l’SP2 per Windows Server 2003 e Windows Vista. Dall’ultimo anno analizzato, Microsoft ha rilasciato due Service Pack per Vista e uno per Windows XP. Apple ha rilasciato cinque update gratuiti per Leopard, senza contare le patch per Mac OS X Server e gli aggiornamenti iPhone.

La gara Pwn2Own è da molti criticata per come essa si svolge. Jeff Jones, direttore del Security Group in Microsoft arriva ad affermare che la manifestazione semplifica i problemi tanto da renderla inutile. Lo scorso anno, Jones pubblicò un post sul proprio blog nel quale affermava che * in sostanza * non gli importava nulla di quanto emergeva dalla gara. Se un sistema non viene “hackerato” non significa che esso è meno vulnerabile; se viene “hackerato” vuol dire che è mostrato quello che già  sappiamo: qualunque sistema può essere vulnerabile in determinate circostanze.

[A cura di Mauro Notarianni]