Prima o poi doveva succedere, Google Chrome è stato “bucato”, e per ben 2 volte... Il primo, è stato il solito team della "vupen" durante il Pwn20wn che è iniziato oggi. Famoso per aver scardinato safari in meno di 20 secondi lo scorso anno, anche nel 2012 gli owners della vupen non si sono smentiti, e "l'inviolabile" crome, è caduto in meno di 5 minuti... Il secondo a violarlo, è uno studente russo, Sergey Glazunov, è successo al CanSecWest, l'annuale conferenza sulla sicurezza informatica che si svolge a Vancouver, durante il contest "Pwnium", ovvero la competizione speciale promossa da Google qualche giorno fa. L'abile studente, è riuscito a bypassare, senza infrangerla, la sandbox di Chrome utilizzando due vulnerabilità non note del browser, e ha cosi portato a casa il premio messo in palio. Non sono noti ancora gli exploits utilizzati e le vulnerabità scoperte, vedremo cosa succederà nei prossimi giorni..
poro google chrome quest'anno sara' diverso /emoticons/biggrin@2x.png 2x" width="20" height="20"> ( a dispetto di tutti quelli contro safari e mac naturalmente) /emoticons/biggrin@2x.png 2x" width="20" height="20"> Vediamo cosa succede successivamente :wink:
http://www.tomshw.it/cont/news/ie9-cade-al-pwn2own-2012-messo-al-tappeto-da-due-bug/36337/1.html E due... Anche quest'anno cadono come le mosche... Ma data la quantità di denaro in palio la cosa non mi stupisce neppure un pò...
Hai riportato il link del mio messaggio /emoticons/wink@2x.png 2x" width="20" height="20"> /emoticons/biggrin@2x.png 2x" width="20" height="20"> eh si....vediamo il seguito /emoticons/wink@2x.png 2x" width="20" height="20">
Bhè.. Non è quella la meccanica di lavoro del Pwn20wn.. Si divide il lavoro in giornate, a meno che qualcuno non annunci che ha l'exploit già pronto.. Ovviamente, dato che google aveva messo in palio un sacco di denaro si sono concentrati tutti su quello, e chi aveva l'exploit preparato si è sbrigato a presentarlo prima di essere preceduto (60mila $ non sono bruscolini..). Sono filtrate indiscrezini sulla zero-day di crome, e i 2 exploit presentati mostrano che alle spalle ci sono una profonda conoscenza delle iterazioni e quindi un'analisi durata settimane se non mesi.. Che poi la loro applicazione possa necessitare di pochi minuti di lavoro, è solo il risultato di lunghe sessioni di reverse engeenering..
Si vero /emoticons/wink@2x.png 2x" width="20" height="20"> ...tra altro Chrome è stato "bucato" per ben 2 volte
Ho letto che in entrambi i casi ( Chrome e IE9) si parla di "sandbox". Io "più o meno" so cos'é ma gradirei che qualcuno più acculturato in materia ci spiegasse "in italiano" cos'è , a cosa serve e perchè bisogna bucarla o aggirarla per violare il computer.
Bhe.. Le sandbox non sono una trovata degli ultimi anni.. In realtà, si usano da sempre, sopratutto in quegli ambienti in cui l'operativo DEVE restare separato dall'esecutivo... In origine, vennero progettate per fornire un'ambiente di test "real mode" in quei sistemi che NON POSSONO ESSERE MESSI OFFLINE, e che bisgna tenere obbligatoriamente aggiornati (tipo gli ambienti bancari, o i data storage system..), poi, l'evoluzione delle stesse sandbox, ha indicato agli sviluppatori che questi "ambienti stagni", con poche e ben mirate modifiche, potevano fornire anche elevati standard di sicurezza agli stessi sistemi che dovevano contribuire a sviluppare, e sono nate le cosidette "sandbox di sicurezza", che hanno gli stessi principi di base delle loro progenitrici, ma scopi diversi, e diverse metodologie per ragiungerli. Oggi, nei sistemi informatici ad elevata sicurezza, le sandbox sono la norma, e spesso non sono dei semplici accorgimenti software, ma vere e proprie macchine pensate specificatamente per l'uso, che lavorano su cluster e su più livelli, in modo che un eventuale attacco o falla creata da uno sviluppatore imbecille, non sia sul sistema principale e non comprometta l'integrità dei dati. Oggi, oltre alle costosissime soluzioni integrate hardware, si stanno affermando soluzioni learning molto valide, come quella sviluppata per XBintegrator per AS 400 dalla INVENSO o la celeberrima IBM SOA Sandbox... Ma come funzionano, e come possono garantire sicurezza? Bhè... Il i principi che ne governano il funzionamento sono abbastanza elementari, e si possono riassumere in pochi punti: 1) creazione di una "zona franca" con capacità, prestazioni, e interazioni PARI a quelle dell'ambiente operativo 2) svincolo della stessa "zona franca" dalle funzioni di comando dell'operativo 3) capacità di inibizione dell'interazione del software eseguito con l'operativo al di fuori dei parametri predefiniti nella sandbox stessa In soldoni, una sandbox, permette di creare un'ambiente "virtuale" che in realtà virtuale non è, dato che viene eseguito nella stessa istanza dell'operativo, ma che ne resta separato dai processi, e che alla chiusura della sandbox (in genere..) viene semplicemente eliminato in ogni sua parte.. Facile comprendere come questa "zona franca" ci permetta di sperimentare in tutta sicurezza, possiamo installare un software in una sandbox, esso risulterebbe perfettamente funzionale, ma anche totalmente separato dai processi del nostro sistema, e quindi benche funzionante, non potrebbe danneggiarlo ne comprometterne l'integrità, nepure se fosse infetto! Ma come funzionano le sandbox comprese all'interno di un browser? Vediamolo nel dettaglio: Una finestra di un browser, è un ambiente esecutivo a tutti gli effetti, le risapute vulnerabilità di IE (fino alla versione 6), erano dovute all'elevata integrazione del browser nei processi del kernel, il problema risiedeva nelle stesse istanze del browser, che venivano eseguite a basso livello, e che coinvolgevano la finestra del browser in un sacco di cose, comprese le chiamate al sistema!!! Le cose mutarono con l'arrivo di IE7 e con l'adozione di una sandbox, che viene eseguita in una istanza separata da quella del browser, e in cui viene visualizzata la pagina web, e nello stesso modo funziona Chrome. Questo porta ad immediati vantaggi: separazione dei processi, isolamento delle istanze, controllo sull'esecuzione di eventuale codice maligno.. Ma sono la panacea a tutti i mali? NO! Sono semplicemente un'arma in più a disposizione di chi cerca la sicurezza, ma non sono inviolabili, come tutti i prodotti informatici la loro sicurezza è inversamente proporzionale alla loro diffusione.. Ne abbiamo la dimostrazione proprio in questi giorni: la sandbox di Chrome, è opensource, quindi i sorgenti sono disponibili per chiunque voglia analizzarli (ed è cosi che è stata bucata, analisi e abilità..), discorso diverso per quella di IE, che non è opensource, ma che a quanto pare può essere aggirata con relativa facilità grazie a 2 falle scovate dal crew della vupen grazie alla mole di documentazione disponibile sull'argomento windows. La stessa vupen, ha comunicato che la prima falla che riguarda esclusivaente l'ambiente "consumer", sarà implementata nella knowledge nel prossimo "patch day" il 13 marzo e patchata direttamente da Microsoft, mentra la seconda patch, che riguarda solo gli ambienti server, verrà commercializzata direttamente da loro (l'ultima patch rilasciata da vupen è costata 22€ compresa di sorgenti, SDK e workaround se non ricordo male..). Per quanto riguarda chrome, google ha imposto come condizione di pagamento del premio di avere il workaround dell'hacking, e ci metterà una pezza con il prossimo rilascio del browser.. Paliativi o soluzioni? Ai posteri l'ardua sentenza, e a me un sacco di grattacapi... Edit: Google ha già rilasciato le correzioni al suo browser. http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html
Si pero' il primo giorno non viene solo "attaccato" chrome ma bensì tutti /emoticons/wink@2x.png 2x" width="20" height="20"> Ai 60.000$ devi togliere le tasse di circa più o meno 40%! I soldi per quanto hanno il loro peso in questo "show skilles" ma conta ben altro /emoticons/wink@2x.png 2x" width="20" height="20"> Questo e' cio che ha detto Vupen ( alla faccia della sicurezza)
http://www.geek-news.net/2012/03/firefox-chrome-and-ie9-all-fall-at.html /emoticons/wink@2x.png 2x" width="20" height="20">
Che dire? Siete da invidiare solo per quello che scrivete. Se poi lo capite anche... /emoticons/biggrin@2x.png 2x" width="20" height="20"> Cos'è 'sta roba?
Leggiti qui ---> http://it.wikipedia.org/wiki/Pwn2Own /emoticons/wink@2x.png 2x" width="20" height="20">
Guarda che il giardino in cui "sto zappando" (se per giardino intendi mere cognizioni informatiche) è molto più mio che tuo.. Il motivo per cui io non posso partecipare al Pwn2Own è abbastanza semplice... Io non sono un furiclasse dell'hacking, cosa che bisogna essere per fare certe cose. Al mondo esistono gli "attaccanti fuoriclasse" e gli onesti "centromediani metodisti", io faccio parte della seconda categoria, mi limito a correre molto per cercare di stare al passo con chi è molto più bravo di me... A proposito... Tu in che ruolo giochi? Appurato che io non sono j@ckall, non sono neppure uno sprovveduto, anche se tu sei liberissimo di ritenermi tale, ma prima di dirmi che IO mi devo informare, leggi bene quel regolamento, e cerca di capire cosa vuole dire. Al Pwn2Own sono validi solo gli exploit ZERO-DAY! Sai cosa è un exploit zero-day? Se si, bene, e quindi puoi capire in cosa stai sbagliando, se invece non lo sai, ne prendo atto e finisco qui questo discorso, altrimenti trasciniamo inutilmente l'argomento come quando sostenevi che non si può programmare in ASM in ambiente unix perchè lo diceva la "famosa tabella"...
Informati cosa significa zero-day exploit /emoticons/wink@2x.png 2x" width="20" height="20"> ---> http://www.webopedia.com/TERM/Z/Zero_Day_exploit.html Te lo metto in italiano ( Chiamato o Zero Day o Zero-Day, si tratta di un exploit che sfrutta una vulnerabilità di sicurezza lo stesso giorno che la vulnerabilità diventa pubblicamente o generalmente conosciuto. Exploit zero-day di solito sono pubblicati da famosi gruppi hacker. Le aziende di software possono emettere un bollettino sulla sicurezza o di consulenza, quando l'exploit diventa conosciuto, ma le aziende possono non essere in grado di offrire una patch per correggere la vulnerabilità per qualche tempo dopo.) e non che non possono usare quello dell'anno scorso perché si presume che le falle identificate l'anno scorso siano gia' state chiuse /emoticons/wink@2x.png 2x" width="20" height="20"> ---> http://en.wikipedia.org/wiki/Zero-day_attack http://what-is-what.com/what_is/zero_day_exploit.html leggere e documentarsi non fa mai male /emoticons/wink@2x.png 2x" width="20" height="20"> Esatto zappare il giardino e' inteso nel campo informatico e riguarda win ecc...basta che sia contro Apple!!! Io non sono come te offensivo e polemico e mi sono sempre rivolto con educazione e rispetto cosa che a te manca volendo far passare l'interlocutore per "tontolone" ! E mai detto che tu non sia una persona preparata nel campo cosa che invece tu perennemente fai notare nei confronti miei ( e di tutti ) senza sapere nulla dell'altra persona! vedo che ancora continui (vedi per esempio ASM e ce ne sono molti altri) a non capire su NESSUN discorso che abbiamo fatto ( se discorsi si possono dire da parte tua) Fatti i tuoi discorsi da solo perché sei molto bravo a girare la frittata! /emoticons/wink@2x.png 2x" width="20" height="20"> I nostri dialoghi su certi argomenti finiscono qui. Mi hai gia' abbastanza stressato e non ho più voglia! Grazie!
E avanti... Una vulnerabilità zero-day è una falla NON DOCUMENTATA... Se è già documentata non è zero-day, se l'hai usata l'anno precedente al Pwn2Own è ducumentata, e quindi non è zero-day e non può essere usata al Pwn2Own, il cui scopo di base non è vincere (sino all'anno scorso si vinceva solo il portatile su cui si era lavorato..), ma di cercare vulnerabilità non documentate e di dimostrare quanto siano abili determinate persone... Dove risiederebbe l'abilità dell'uso di un exploit già scritto e documentato? Lo potresti usare anche tu (a quanto vedo, previa dovuta istruzione alla programmazione di base..) o anche io nella mia abbissale ignoranza sull'argomento informatico... Che ne dici, l'anno prossimo ci presentiamo io e te in team con una bella chiavetta usb con su gli exploit usati quest'anno e se non li hanno chiusi, vinciamo!
