Hacking: penetra in un Mac e incassa 10.000$

di Andrea "C. Miller" Nepori 9

overview_bigair_three20080115.jpg

Riuscire a sfruttare una falla mai utilizzata per penetrare all’interno di un computer è, per un hacker, una grande soddisfazione. Ma se per essere riusciti a sfruttare quella falla, invece degli strali dell’intera comunità informatica, si ha diritto ad un premio di 10.000$, tanto meglio. E’ quello che deve avere pensato Charlie Miller quando ieri è riuscito a penetrare all’interno di un MacBook Air, anch’esso parte del premio incassato dall’hacker, nell’ambito del contest PWN2OWN dell’annuale CanSecWest conference di Vancouver.

Le macchine che gli hacker devono provare a violare sono 3: un MacBook Air con Leopard, un Sony Vaio con Ubuntu 7.10 e un Fujitsu U810 con Vista Ultimate SP1. In tutti e tre casi all’hacker è richiesto di accedere ad un file presente all’interno del computer e di leggerne il contenuto. Mercoledì, primo giorno del contest, nessuno è riuscito a penetrare in uno dei tre computer, anche perché le regole prevedevano che l’attacco andasse condotto esclusivamente attraverso la rete LAN.

Ieri, invece, gli organizzatori hanno allentato le regole a gli hacker potevano chiedere agli operatori di usare uno dei software nativi dei computer per accedere ad alcuni servizi remoti (visualizzazione di una pagina internet o ricezione di una mail, ad esempio). Charlie Miller ha approfittato di una falla, presumibilmente di Safari, per accedere ad una pagina appositamente creata, riuscendo a leggere il contenuto del file obiettivo.

La falla sfruttata non è ancora stata resa nota e l’hacker ha firmato un patto di riservatezza che lo obbliga a non rivelare l’exploit prima che l’azienda produttrice possa risolvere il problema. Secondo quanto riportato da Aaron Portnoy, uno dei giudici della competizione, gli ingegneri di Cupertino si sono messi alacremente al lavoro già dal tardo pomeriggio di ieri per tappare “il buco”.

Charlie Miller è un nome noto nell’ambiente dell’hacking, poiché faceva parte del team che per primo riusci a portare a termine l’hacking di iPhone, l’anno scorso. E non è la prima volta che Miller incassa una bella sommetta per essere riuscito ad individuare un bug: nel 2005, una non meglio precisata agenzia governativa lo pagò 50.000$ per la scoperta di una falla in un sistema Linux.