Topic: Pwn2Own 2014: nel primo giorno Firefox è stato "bucato" tre volte...

[gialloporpora]

Sfida 2010: gli hacker "bucano" Firefox? Sì, ma quello di un anno fa....
Sfida 2011: gli hacker riusciranno a "bucare" Firefox?
Sfida 2012: Firefox sotto assedio!
Sfida 2013: tutti "bucati", browser e plug-in!
---------------------------

È in corso il pwn2own 2014. Nel primo giorno Firefox è stato bucato tre volte
Previsto un altro attacco in giornata.

PWN2OWN Day One – Reader, IE, Flash and Firefox felled, Java left standing | Naked Security

The full results of Day One were was follows:

Mozilla's Firefox had a bad day, pwned three times at a cost to the sponsors of $150,000.

[shonnyno]

Forse ultimamente si concentrano più su Australis e altri settori importanti (sicurezza) ne fanno le spese.
Inoltre mi è parso di capire che ff26 e 27 avessero più bug rispetto ai bug fisiologici delle altre versioni.
Speriamo che questo concorso serva a Mozilla per elevare la guardia senza concentrarsi sulla sparizione delle opzioni personalizzabili, poiché fa più danno un hacker che non l'utente che sbaglia click nel menù

[Geko]

A questo proposito,se consideriamo che nel link postato da gialloporpora http://www.wired.it/live/sxsw-2014/ uno degli esperti di sicurezza che ha dialogato con Snowden ha giudicato Firefox il browser più attento alla privacy,e Chrome quello tecnicamente più sicuro (qua c'è la trascrizione dell'intervista http://blog.inside.com/blog/2014/3/10/edward-snowden-sxsw-full-transcription-and-video ),tra i colpi alla privacy che sta assestando la stessa Mozilla http://featherweightmusings.blogspot.hu/2014/03/directory-tiles-incentivisation-and.html e le vulnerabilità scoperte dagli hackers quest'anno (mi sbaglio o l'anno scorso Firefox fu l'ultimo a cedere,dopo 20 minuti di attacchi?),diciamo che non mi pare un bel momento.

[gialloporpora]

Dal listino prezzi dei  premi a me sembra che, almeno per gli organizzatori del  pwn2own, il più sicuro sia IE11+EMET, infatti viene pagato 150000$ e nessuno si è registrato per tentare l'hack. Però questo non vuol dire che non sia vulnerabile, l'anno scorso mi chiedevo perché uno dovrebbe rinunciare a mostrare un attacco a quelle cifre (le taglie offerte dalle singole aziende sono molto minori), però credo che Snowden abbia spiegato bene chi sono i possibili acquirenti di uno 0-day non pubblicato.
Sembra strano, però quello che è riuscito a fregare i francesi è Java (), il meno pagato tra le altre cose.
Il problema di Firefox rispetto a IE e Chrome credo sia la sandbox: non basta un bug, in aggiunta devi anche uscire dalla sandbox per vincere il premio.
Comunque la sandbox FF non ce l'ha mai avuta e non mi sembra sia mai stato un colabrodo, anche se pure io sarei felice che si concentrassero su questo fronte.

[gialloporpora]

Giorno 2:
http://news.techworld.com/security/3506807/all-major-browsers-fall-during-second-day-at-pwn2own-hacking-contest/

da quel che mi pare di capire Java resiste, tutti gli altri sono caduti firefox 4 volte  in tutto.

[miki64]

Riepilogo in italiano:
Pwn2Own, "violati" tutti i principali browser web
L'edizione 2014 di Pwn2Own, competizione organizzata annualmente da Zero-Day Initiative (sponsorizzata da HP) e riservata ai ricercatori in materia di sicurezza informatica di tutto il mondo, si è appena conclusa. Anche quest'anno gli esperti hanno provato, riuscendoci, a violare le misure di sicurezza imposte da software quali Internet Explorer, Firefox, Chrome, Safari, Adobe Flash e Reader. I vari contendenti hanno dovuto dimostrare l'utilizzo di falle di sicurezza "inedite" per far breccia nelle varie applicazioni ed eseguire codice nocivo (superando eventuali meccanismi di sandboxing, ove presenti): vietato insomma utilizzare vulnerabilità già note.

Ancora una volta, quindi, l'iniziativa Pwn2Own mette bene in luce come anche il software considerato più sicuro possa essere oggetto d'attacco, se oggetto di analisi da approfondite da parte di un team di ricercatori ben organizzati e motivati.

Gli "sponsor" di Pwn2Own hanno messo sul piatto, complessivamente, la somma di un milione di dollari che è stata suddivisa fra tutti coloro che hanno scoperto nuove vulnerabilità nei software oggetto della gara.

Sono i franco-statunitensi di Vupen Security ad aver ottenuto il premio in denaro più importante: 400.000 dollari. Il ricercatore Chaouki Bekrar, responsabile del laboratorio di Vupen, ha commentato che al di là del riconoscimento economico, iniziative come Pwn2Own sono importanti perché sono un ottimo spunto per il miglioramento di ciascun software preso in esame. Le società sviluppatrici, infatti, utilizzando le segnalazioni dei ricercatori, hanno modo di rendere ancora più sicuri i loro prodotti.

Durante la competizione, Firefox è stato il prodotto complessivamente più preso di mira con 4 attacchi andati a buon fine (esecuzione di codice potenzialmente dannoso ed acquisizione di privilegi più elevati). Le misure di difesa di Internet Explorer e di Adobe Flash sono state superate in due diversi attacchi mentre quelle di Chrome, Safari ed Adobe Reader in una sola occasione.
Nel caso di Internet Explorer, Chrome, Safari, Adobe Flash ed Adobe Reader è stata violata la sandbox provocando l'esecuzione di codice arbitrario sul sistema in uso.
Il browser di Google è stato violato con successo anche una seconda volta ma i giudici di Pwn2Own hanno ritenuto non ratificare l'attacco perché, per bersagliare Chrome, era stato in parte utilizzato codice exploit già noto.

[shonnyno]

http://www.tomshw.it/cont/news/pwn2own-tutti-i-browser-violati-ma-firefox-e-il-peggiore/54413/1.html

[gialloporpora]

in particolare si è distinto il francese Vupen, in grado di scovare falle 0-day su prodotti come Adobe Flash e Reader, Firefox ed Internet Explorer. Il ricercatore si è così guadagnato un premio di 300 mila dollari.

Comunque Vupen non è una persona, bensì una società.

Durante la prima tornata, Chrome è parso intoccabile.

Perché nessuno si era registrato per tentare l'exploit a Chrome nel primo giorno. Se quelli di Vupen avessero invertito la scaletta prescelta sarebbe rimasto invulnerabile IE, visto che entrambi gli attacchi hanno avuto successo, quelli di Vupen hanno fallito solo l'attacco a Java e a Safari.


Qui l'articolo inglese:
http://www.pwn2own.com/2014/03/pwn2own-2014-recap/

sono due i prodotti (browser+plugin) illesi: Java () e IE + Emet.

[shonnyno]

sopresa per la famigerata java! (tra una settimana la versione 8 )
correggo: disponibile già oggi!!

[Mte90]

Prima di commentare la notizia aspetto qualche notizia tecnica con i dettagli per capire il metodo in cui hanno buttato giù i vari software.
Detta così è solo fraintendibile. Gli hacker hanno a disposizione 30 minuti per bucarli che per un exploit sono veramente tanti.

[gialloporpora]

Qui ci sono dei dettagli tecnici sui bug di Firefox (con relativi link agli advisory Mozilla)
http://wp.me/p120rT-12Si

[Geko]

Quando trovi notizie più precise potresti postarle (magari con spiegazioni...),perché a questo punto sarebbe anche interessante capire se si sono per qualche motivo accaniti su Firefox o se effettivamente ci siano stati passi indietro sulla sicurezza

Edit:ho appena letto il link di gialloporpora,se ho capito due sono attacchi eseguiti nella memoria e due eseguono codice javascript,uno dei quali bypassando anche la protezione contro i popup.Sarebbe interessante ed utile sapere se NoScript potrebbe bloccare questi due.

[miki64]

Detta così è solo fraintendibile.

È tutto fraintendibile, mio caro.
Il contest in realtè è una creatura di HP’s DVLabs Zero Day Initiative (ZDI), che paga per avere gli 0-day. Questi 0-day non saranno rivelati finché non è disponibile la relativa patch ...
Ma mi sa tanto che nel frattempo la falla la passano alla NSA... 

Gli hacker hanno a disposizione 30 minuti per bucarli che per un exploit sono veramente tanti.

In realtà hanno a disposizione tutto il tempo PRIMA di preparare l'attacco. Mi sembra impossibile che arrivano, si piazzano davanti al monitor e oplà scovano il bug sulla sicurezza...
Comunque mi è parso di capire nei commenti inglesi che probabilmente determinati exploit sono pagati meglio da Google che da Mozilla, boh. 

[Mte90]

mi sembrano dei casi di buffer overflow principalmente.
Per la questione tempo non è che loro vanno lì senza sapere cosa provare, vanno lì avendo già trovato la vulnerabilità e replicano come l'hanno ottenuta.

[gialloporpora]

CVD.
Wikileaks pubblica FinFisher, il software-spia usato dai governi contro i dissidenti e i giornalisti; coinvolta anche VUPEN (antivirus) | Il Disinformatico

Un aspetto particolarmente interessante per l'utente comune è che la società di sicurezza francese VUPEN Security ha collaborato con FinFisher fornendo vulnerabilità (exploit) che non rende pubbliche. Non è la prima volta che VUPEN è stata denunciata giornalisticamente per questo comportamento: anzi, VUPEN se ne vanta pure (Forbes, 2012; grazie a @flameeyes per la segnalazione).