Riuscire a sfruttare una falla mai utilizzata per penetrare all’interno di un computer è, per un hacker, una grande soddisfazione. Ma se per essere riusciti a sfruttare quella falla, invece degli strali dell’intera comunità informatica, si ha diritto ad un premio di 10.000$, tanto meglio. E’ quello che deve avere pensato Charlie Miller quando ieri è riuscito a penetrare all’interno di un MacBook Air, anch’esso parte del premio incassato dall’hacker, nell’ambito del contest PWN2OWN dell’annuale CanSecWest conference di Vancouver.
Le macchine che gli hacker devono provare a violare sono 3: un MacBook Air con Leopard, un Sony Vaio con Ubuntu 7.10 e un Fujitsu U810 con Vista Ultimate SP1. In tutti e tre casi all’hacker è richiesto di accedere ad un file presente all’interno del computer e di leggerne il contenuto. Mercoledì, primo giorno del contest, nessuno è riuscito a penetrare in uno dei tre computer, anche perché le regole prevedevano che l’attacco andasse condotto esclusivamente attraverso la rete LAN.
Ieri, invece, gli organizzatori hanno allentato le regole a gli hacker potevano chiedere agli operatori di usare uno dei software nativi dei computer per accedere ad alcuni servizi remoti (visualizzazione di una pagina internet o ricezione di una mail, ad esempio). Charlie Miller ha approfittato di una falla, presumibilmente di Safari, per accedere ad una pagina appositamente creata, riuscendo a leggere il contenuto del file obiettivo.
La falla sfruttata non è ancora stata resa nota e l’hacker ha firmato un patto di riservatezza che lo obbliga a non rivelare l’exploit prima che l’azienda produttrice possa risolvere il problema. Secondo quanto riportato da Aaron Portnoy, uno dei giudici della competizione, gli ingegneri di Cupertino si sono messi alacremente al lavoro già dal tardo pomeriggio di ieri per tappare “il buco”.
Charlie Miller è un nome noto nell’ambiente dell’hacking, poiché faceva parte del team che per primo riusci a portare a termine l’hacking di iPhone, l’anno scorso. E non è la prima volta che Miller incassa una bella sommetta per essere riuscito ad individuare un bug: nel 2005, una non meglio precisata agenzia governativa lo pagò 50.000$ per la scoperta di una falla in un sistema Linux.
Marchello 29/03/2008 il 12:45
La vulnerabilità sfruttata è su Safari, ed è sufficiente cliccare su un link per consentire all’attaccante di aprire la porta telnet, tramite la quale lanciare ogni tipo di codice.
Oltretutto, due giorni prima sono state segnalate due vulnerabilità critiche per Safari, nella versione per Windows, che dalla sua prima release Win in quanto a sicurezza ha lasciato piuttosto a desiderare (http://secunia.com/advisories/29483 ).
Piccolo dettaglio, Charlie Miller è un mac user.
http://www.channelregister.co.uk/2008/03/28/mac_hack/
Emanuele L. Cavassa 29/03/2008 il 13:44
“Charlie Miller” ammetti che sei stato tu!
:-D
Giovanni 29/03/2008 il 14:08
per sapere informazioni riguardanti gli altri tre portatili dove si può andare? per avere una fonte affidabile, perchè ho letto le stesse cose anche su altri siti, ma storpiano molto la notizia a differenza del blog in cui viene trattata!
grazie in anticipo
Piscart 29/03/2008 il 20:16
camillo…parente tuo? :P
Camillo Miller 30/03/2008 il 10:45
@marchello Io ho scritto che si suppone sia su Safari perché non é ancora stato rivelato, anche se è pressoché certo si tratti del browser. L’anno scorso era stato sfruttato QuickTime. Sul fatto che fosse un Mac User, pardon l’avevo dato quasi per scontato … :-)
@Giovanni ecco il link al blog degli organizzatori
E’ stato violato anche il notebook con Vista. Si spera che essendo finito in mano a ‘sti ragazzi faccia anche presto a sparire l’installazione di Vista da quel notebook :-)
Bunny 08/11/2011 il 02:20
Your cranium must be ptrcoeting some very valuable brains.
afmeeyxn 09/11/2011 il 13:32
ccupfn aujclwowthel