Nel giro di pochi minuti dall’apertura nel secondo giorno di competizione del PWN2OWN l’esperto di sistemi Mac e di sicurezza IT Charlie Miller è riuscito a penetrare il computer Apple sfruttando una falla di Safari. Non si tratta di software realizzato da Cupertino ma di un baco contenuto in alcune librerie open source denominate Perl Compatible Regular Expressions, siglato PCRE.
Si tratta di codice utilizzato in numerosi programmi tra cui ricordiamo Apache, il linguaggio di scripting PHP e anche Safari.
Questa falla è stata scoperta e resa nota dall’esperto di sicurezza Chris Evans già nel mese di maggio 2007: la comunità open source ha apportato le correzioni al software rilasciando nel giro di pochi giorni una versione delle librerie PCRE 6.7 esente dal baco.
Purtroppo Apple non ha aggiornato le librerie PCRE utilizzate da Safari, lasciando così campo aperto per un esperto di sicurezza alla caccia di bachi sfruttabili per vincere la competizione.
I fatti sono stati analizzati da PCWorld che ha intervistato via mail sia l’esperto Chris Evans che ha scoperto originariamente la falla, sia Charlie Miller che l’ha utilizzata per vincere la competizione PWN2OWN.
L’hacker che si è aggiudicato il premio in denaro e un nuovo MacBook Air in palio ha affermato che si, il baco era precedentemente noto, ma che era stato individuato in modo indipendente anche dai ricercatori della società Independent Security Evaluators per cui lavora.
Nelle condizioni di gara del PWN2OWN è stabilito che le falle sfruttabili devono essere sconosciute e non documentate, un dettaglio fondamentale che sembra cadere alla luce delle ultime scoperte. In ogni caso gli organizzatori della manifestazione ritengono che il premio di Miller sia meritato, proprio in virtù del fatto che Apple non abbia mai apportato gli aggiornamenti necessari per sistemare la falla nota. Miller è stato anche il primo a sfruttare un altro baco nelle librerie PCRE per entrare in iPhone a pochi giorni di distanza dalla presentazione ufficiale.
Ricordiamo che lo stesso Miller aveva segnalato un metodo per scovare bachi in Mac OS durante la sua presentazione all’evento sulla sicurezza Black Hat dell’anno scorso. La tecnica suggerita consisteva nel cercare versioni non aggiornate dei software open source utilizzati all’interno del Mac, per individuare poi i file del progetto alla caccia di bachi corretti nel mondo del software libero, ma non aggiornati nella piattaforma Apple.
Questa è la tecnica esatta che ha portato Miller alla vittoria dell’ultimo PWN2OWN: secondo le dichiarazioni di Miller, raccolte da PCWorld, l’hacker avrebbe suggerito ad Apple di percorrere questa via per riparare eventuali problemi di sicurezza ma che Cupertino non abbia poi messo in pratica i consigli.
Solo dopo l’esito della gara PWN2OWN Apple ha riparato la falla mentre Miller alla domanda se intendesse restituire il premio ha risposto con un secco “Assolutamente no. Non è colpa mia se non sistemano i loro bachi”.
