Tag Archives: apple

PWN 2 OWN contest: vince Linux

Si è concluso venerdì 28 marzo il contest PWN 2 OWN, organizzato da Tipping Point, dopo tre giorni di tentativi di cracking.

I tre sistemi messi sotto torchio sono stati un VAIO VGN-TZ37CN con Ubuntu 7.10, un Fujitsu U810 con Vista Ultimate SP1 e un MacBook Air con OSX 10.5.2.

Le regole del gioco

La sfida prevedeva di collegare il proprio notebook via cavo ethernet cross al notebook sotto attacco, e ogni partecipante aveva diritto a sessioni di 30 minuti per cercare di sfruttare una falla 0day per leggere un file all’interno del sistema. Era divisa in tre giornate: il primo giorno si poteva attaccare solo il sistema con installazione base, patchato alle ultime versioni, via rete. Il secondo giorno sono entrate in gioco le applicazioni base per Internet: browser, e-mail e IM. Il terzo giorno sono state installate applicazioni di terze parti.

Il primo giorno hanno retto tutti e tre.

I caduti in battaglia

Il secondo giorno il MacBook ha ceduto in soli 2 minuti. L’hacker ha sfruttato una falla in Safari ed è riuscito a leggere il contenuto del file bersaglio. La falla non è stata rilasciata al pubblico, ma comunicata ad Apple perché venga corretta, e l’hacker, o meglio GLI hacker (Charlie Miller, Jake Honoroff, e Mark Daniel) hanno ricevuto il premio: lo stesso MacBook Air e 10.000 $.

Il terzo giorno ha ceduto anche Vista, nonostante il nuovissimo SP1 installato. L’hacker,  Shane Macaulay, ha sfruttato un buco di Flash, appena installato tra le applicazioni di terze parti, per leggere il file bersaglio. Anche in questo caso il bug è stato segnalato ad Adobe e non rilasciato al pubblico. Shane si porta a casa il Fujitsu e 5.000 $ di premio.

E Linux?

Ha resistito a tutti gli attacchi, naturalmente. :)

Le regole complete del concorso non sono state pubblicate, purtroppo, quindi è difficile fare una valutazione del risultato. Per esempio: il file era nella home dell’utente o in una cartella di sistema. Ed apparteneva all’utente o all’amministratore? I permessi di accesso come erano impostati? Quali software sono stati testati?

Nel caso il file fosse nella home dell’utente, le falle sarebbero sì gravi, ma non gravissime, e completamente “a carico” dei produttori del software bucato (OK, Apple per Safari, ma Adobe per Flash), mentre se fosse stato un file di sistema, il problema sia di OSX che di Vista sarebbe veramente grave, perché avrebbe permesso a un software lato utente di leggere un file di sistema senza chiedere conferme di nessun tipo. Sarebbe una falla grave nel Sistema Operativo.

Apple: fine della pacchia?

Ieri Apple ha aperto il MacWorld presentando il MacBook Air. E ha deluso molte aspettative.

Il nuovo gingillo di casa Apple non può certo essere considerato spazzatura. Monta un Core 2 Duo da 1.6 o da 1.8 Ghz, appositamente progettato e realizzato da Intel per questo modello, 2 GiB di RAM DDR2 a 667 MHz, 80 GB di disco (da 1.8″, per risparmiare spazio) anche se a 4200 giri, e un bel monitor widescreen a 1280×800, scheda WiFi N e Bluetooth 2.1, webcam sopra il monitor. Porta esterna microDVI e alimentazione. Quasi dimenticavo: il touchpad multi-touch.

Purtroppo è tutto qui. Non c’è il lettore/masterizzatore DVD (comprensibile per un thin notebook), ma quello che è peggio è che non è quasi per niente espandibile. Audio in mono, con un jack per le cuffie. Niente microfono, nemmeno tramite jack. Niente firewire, quindi niente montaggio video direttamente dalle telecamere digitali, che era uno dei cavalli di battaglia Apple. Niente lettori di schede. Niente slot PCMCIA. Una sola porta USB2. Per collegarlo a qualsiasi monitor in giro serve come minimo un adattatore microDVI-DVI o microDVI-VGA. Non si può nemmeno cambiarsi da soli la batteria o espandere la RAM o il disco, perché è tutto sigillato iPhone-style.

OK, ci si può portare dietro un hub USB, magari un mouse USB o Bluetooth, magari un adattatore USB-Ethernet, magari il lettore DVD USB, magari il microfono USB o lo skypephone USB. Notebook sottilissimo e borsone di accessori in spalla… Ma allora a cosa serve? Continue reading