Notizie: scarica ora l'ultima versione disponibile di Thunderbird!

Autore Topic: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?  (Letto 2248 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline miki64

  • Moderatore
  • Post: 32265
L'anno scorso abbiamo discusso della sfida Pwn2Own 2010 in questo topic:
Pwn2Own 2010: gli hacker "bucano" Firefox? Sì, ma quello di un anno fa....

Probabilmente anche quest'anno ci sarà una discussione interessante in merito a questa manifestazione, quindi inizio io col postare le prime informazioni (tratte da Punto Informatico):

Firefox, un cerotto per salvare la faccia
Anche Mozilla si affretta a sanare le nuove vulnerabilità scoperte nel browser, poco prima della prova di forza di Pwn2Own.
Il contest che mette sotto torchio i principali browser web si svolgerà nei giorni 9, 10 e 11 marzo 2011 a Vancouver. Ogni programma "cavia" sarà installato su un sistema operativo a 64 bit, spaziando tra OS X e Windows 7. Coloro che riusciranno a violare le difese di Firefox, Safari o Internet Explorer si porteranno a casa 15mila dollari offerti dallo sponsor TippingPoint, divisione HP specializzata in sicurezza informatica.
.

Offline Faus-74

  • Post: 613
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #1 il: 04 Marzo 2011 20:14:21 »
In due giorni due versioni di Firefox, appena aggiornato alla 3.6.15.
Si stanno preparando per l'evento ;)

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Ultime novità dal Web sul Mondo Mozilla
« Risposta #2 il: 10 Marzo 2011 20:54:17 »
Domani toccherà a Firefox:

Pwn2Own 2011: già bucati Safari e Internet Explorer 8 » Italia SW
Citazione
Nuovo anno e nuovo Pwn2Own , computer hacking contest dedicato agli hacker che cercano, singolarmente o in gruppo, di far crollare i web browser e altri software. I concorrenti che riescono a raggiungere l’obiettivo ricevono un premio in denaro e il computer che sono riusciti a “dominare”. I dettagli sono accessibili al pubblico in parte e vengono rilasciati, completamente, quando il produttore ha corretto la vulnerabilità.

Offline jooliaan

  • Lazy Old Man
  • Post: 8532
    • BlogZilla
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #3 il: 11 Marzo 2011 13:15:32 »
iPhone 4 e BlackBerry non resistono agli hacker

Citazione
nel secondo giorno di gara nessuno è riuscito a superare le difese di Firefox 3.6. Sam Dash, che si era iscritto per aggirare le difese del browser di Mozilla, ha dovuto rinunciare perché il suo exploit non era affidabile.
:D
Citazione
È rimasto ancora un giorno di gara, ma secondo gli organizzatori difficilmente ci saranno altri hack per smartphone e browser.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #4 il: 11 Marzo 2011 13:33:22 »
Leggendo su Twitter, la figura peggiore sembra l'abbiano fatta Safari e i browser mobili basati su Webkit,  il migliore sembra Chrome seguito a  ruota da FF :-)

Offline miki64

  • Moderatore
  • Post: 32265
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #5 il: 11 Marzo 2011 14:37:08 »
Aspetta, Sandro! Chrome fa un'ottima figura... ma solo perché - da quanto ho letto su un sito inglese e se il mio inglese non mi tradisce - non è stato "attaccato" da nessun hacker! Questo suo risultato, quindi, andrebbe ridimensionato.
O sbaglio?

Vi ricordate le critiche di quando gli hacker, per etica, un paio di anni fa non attaccarono Linux?

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #6 il: 11 Marzo 2011 15:09:50 »
Però se nessuno ci ha nemmeno provato un motivo c'è :-)
Credo che i partecipanti vadano già lì con degli attacchi preparati ad hoc e li eseguano finché non riescono a bucare i sistemi.
Ovviamente qualcuno fallisce perché le aziende software fanno delle patch a falle già rilevate, se con Chrome non ci hanno provato significa che non avevano nulla di pronto con cui tentare.
chrome è stato scritto da zero usando delle tecniche di nuova generazione, è abbastanza logico aspettarsi sia meno attaccabile, il risultato di Firefox è ottimo perché dimostra la solidità del codice.
Ciao



Offline Godai71

  • Moderatore
  • Post: 4154
    • The Walking Shadow
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #7 il: 11 Marzo 2011 15:34:45 »
Citazione
Per esempio Jon Oberheide, cofondatore di Duo Security, ha dovuto gettare la spugna perché Google ha rilasciato una patch risolutiva per il bug che voleva sfruttare (a segnalarla alla casa di Mountain View è stato lo stesso Oberheide...).

Offline RNicoletto

  • Post: 2207
    • MondoWin
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #8 il: 11 Marzo 2011 15:35:57 »
Da quanto riportato nell'articolo di Italia SW "...il team di Google Chrome ha applicato 24 patch prima di partecipare al contest, lasciando così i partecipanti a bocca asciutta”. :P

Microsoft, ad onor del vero, non ha patchato il proprio browser prima della manifestazione; Mozilla invece l'ha fatto.

Che Safari sia una chiavica dal punto di vista della sicurezza è risaputo. :roll:
La cosa peggiore è che Apple è lentissima nel rilasciare aggiornamenti di sicurezza :x e negli ultimi due anni le vulnerabilità esposte durante il Pwn2Own sono rimaste esposte per mesi prima che arrivassero i fix ufficiali.

Offline miki64

  • Moderatore
  • Post: 32265
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #9 il: 14 Marzo 2011 09:37:00 »
And the winner is...
Pwn2Own 2011: IE, Safari, BlackBerry e iPhone fanno "crack", Chrome e Firefox resistono
...Grande successo quindi per Chrome, che rimane ancora inviolato al Pwn2Own.
Nessuno attacca Firefox
Successo analogo per il browser web di Mozilla. Anche in questo caso, coloro che si erano prenotati per l'attacco non si sono poi cimentati nella prova.

Offline Faus-74

  • Post: 613
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #10 il: 14 Marzo 2011 12:30:21 »
Yeaahhhhhhhhhh, grande il nostro browser
 :fx:

Offline RNicoletto

  • Post: 2207
    • MondoWin
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #11 il: 15 Marzo 2011 11:26:12 »
Nessuno attacca Firefox
Successo analogo per il browser web di Mozilla. Anche in questo caso, coloro che si erano prenotati per l'attacco non si sono poi cimentati nella prova.

Sinceramente non ci speravo. :oops:

Beh, davvero complimenti al Security Team di Mozilla. 8)

Offline miki64

  • Moderatore
  • Post: 32265
Re: Pwn2Own 2011: gli hacker riusciranno a "bucare" Firefox?
« Risposta #12 il: 11 Maggio 2011 11:17:21 »
Non che io voglia per forza portare acqua al mio mulino, ma questa notizia tratta da MegaLab.it (articolo odierno) merita di essere conosciuta:

VUPEN sfugge dalla sandbox e cracca Google Chrome

Citazione
Gli specialisti dell'azienda sono riusciti a scavalcare tutte le misure a protezione della memoria e scatenare l'esecuzione di codice da remoto sull'impenetrabile browser di Google.
I ricercatori di VUPEN Security hanno annunciato lunedì di aver raggiunto un risultato senza precedenti: sfuggire dalla sandbox nella quale è isolato Google Chrome ed eseguire codice arbitrario sul sistema, guadagnandone, di fatto, pieno controllo da remoto.

"L'exploit è uno dei codici più sofisticati che abbiamo visto e creato sino ad ora", spiega senza giri di parole l'articolo del team di esperti francesi.

Probabilmente, non si tratta di un'esagerazione: la demo proposta non solo supera le tecnologie a protezione della memoria come Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) e la sandbox in dotazione a Chrome ma è anche silente, ovvero non causa il crash del programma dopo l'esecuzione dell'attacco.

Come noto, sfuggire a queste contromisure non è sufficiente per portare un assalto: è infatti necessario localizzare anche una falla nel software stesso sulla quale far leva. VUPEN ha individuato anche quest'ultimo tassello: il crack sfrutta infatti una vulnerabilità di sicurezza non ancora nota (0day) nel browser di Google.

L'azienda non ha diramato i dettagli tecnici o il codice sorgente del proprio tool: tali informazioni sono infatti riservate ai governi che abbiano sottoscritto un contratto a pagamento.

VUPEN ha però proposto un video dimostrativo nel quale Google Chrome in esecuzione su Windows 7 SP1 a 64 bit viene indotto ad eseguire un programma da remoto semplicemente visualizzando una pagina studiata ad hoc: il processo in questione ha livello di integirà (IL) "medio", chiaro segnale che è stato lanciato al di fuori della sandbox.

http://www.youtube.com/watch?v=c8cQ0yU89sk&feature=player_embedded

Il team di sviluppo di Chrome non ha ancora commentato la vicenda, ma è probabile che, in caso VUPEN decidesse di condividere le proprie scoperte, il gruppo si attivi per rilasciare una versione del programma epurata dai problemi sfruttati. In tale circostanza, l'update verrebbe recepito immediatamente da tutti i PC grazie all'aggressivo sistema di auto-aggiornamento integrato.

Proprio la restrittiva sandbox è spesso reputata uno dei componenti più efficaci in dotazione al browser di Google, capace di scoraggiare anche i professionisti dell'hacking durante manifestazioni come pwn2own.

0 Utenti e 1 Visitatore stanno visualizzando questo topic.