Ciao, per farti riconoscere devi fare il login. Non ti sei ancora iscritto? Che aspetti, registrati adesso!
Dura solo sei ore la Mac OS X Security Challenge
Scritto da Paolo De Nictolis il 10-03-2006 ore 02:23
Saggiamente, Davide concludeva l'articolo, segnalando la pagina di test su cui effettuare il defacement, con le parole sempre che qualcuno non l'abbia già fatto!. Neanche sei ore dopo, arrivava la notizia che la sfida era stata vinta, sembra addirittura in mezz'ora effettiva di lavoro. Ora, Mac OS X è un ottimo prodotto e, se fossi nei panni dei ragazzi di Redmond, mi preoccuperei un po' della sua imminente disponibilità per piattaforma Intel, sicuramente molto più di quanto non mi preoccuperei della quota di mercato di Linux nel settore Desktop.
Ciò non toglie che sia, per l'appunto, un prodotto: per l'ennesima volta i reparti di marketing dell'uno e dell'altro schieramento hanno cercato di instillare nella mente dell'utente comune, l'idea che un'elevata sicurezza possa essere raggiunta una volta per sempre acquistando un prodotto piuttosto che l'altro, invece che adottando un processo che si estende nel tempo.
Personalmente giudico perciò quantomeno fuorviante, quando la cosa non denoti semplice ignoranza del tema, sia chi ieri affermava Mac OS X è più sicuro di Windows (o di Linux, o di...), sia chi oggi afferma Mac OS X non è più sicuro. L'idea che una spesa una tantum possa mettere qualcuno al sicuro ora e per sempre potrà essere molto consolante, ma è profondamente sbagliata; quando poi è usata per convincere un reparto IT o un singolo all'acquisto, denota a mio parere, perdonatemi i termini forti, scarsa professionalità o malafede. In effetti alle mie stesse conclusioni giunge, spero con più autorità, l'autore della notizia.
Ciò posto, la notizia desta di certo sconcerto anche perché l'anonimo vincitore, tal gwerdna, afferma di essersi servito per l'ennesima volta di zero-day vulnerabilities, ovvero exploit documentati in Rete, ma non ancora risolti per il sistema operativo in esame. Più precisamente, è stata usata una escalation di privilegi.
Il Mac OS X usato per la prova era stato in effetti allestito a puntino: il sistema di autenticazione faceva uso di SSH (che non è abilitato di default in Mac OS X) e permetteva al visitatore di registrarsi in un repository LDAP; a seguito della registrazione gli venivano concessi dei privilegi utente, molto limitati.
Un sistema perfetto sulla carta, ma che non ha retto ad una vulnerabilità di sistema che ha permesso all'attaccante di guadagnare i permessi di root e di operare a suo piacimento sulla macchina. Più della mezz'ora di lavoro, forse un'affermazione ad effetto, desta preoccupazione il fatto che sfruttare una zero-day vulnerability è spesso una pura questione di averla trovata su un sito non ufficiale, piuttosto che di possedere tempo, risorse e conoscenze tecniche per sfruttarla.
Precedente: Debug Trace per C++ Builder
Intervento di Valentini Nicola a.k.a. ingez del 10-03-2006 ore 17:20, Firenze (FI)
Plebeo
(5 interventi)
Iscritto il 11-01-2005
Mi sa che ti sei un attimino confuso:
il mac os x di cui parli: quello con ldap e ssh è stato bucato in mezzora e fin qui tutto ok, ma il mac os x riportato nella notizia di Davide Panceri, quello dell'università del Wisconsin è un altro, e non è stato bucato proprio da da nessuno.
il mac os x di cui parli: quello con ldap e ssh è stato bucato in mezzora e fin qui tutto ok, ma il mac os x riportato nella notizia di Davide Panceri, quello dell'università del Wisconsin è un altro, e non è stato bucato proprio da da nessuno.
Intervento di Filippo Fadda a.k.a. dedalo del 12-03-2006 ore 17:26, Capriata d'orba (AL)
Duca
(1967 interventi)
Iscritto il 03-04-2001
Però il sito non è accessibile, anche a te risulta?
Intervento di Valentini Nicola a.k.a. ingez del 12-03-2006 ore 17:51, Firenze (FI)
Plebeo
(5 interventi)
Iscritto il 11-01-2005
Il sito è rimasto attivo per 38 ore dopo è stato disabilitato dagli organizzatori del test perchè iniziava ad avere un traffico di rete eccessivo, comunque non è stato violato.
Qui altri dettagli:
http://www.osnews.com/story.php?news_id=13910
Qui altri dettagli:
http://www.osnews.com/story.php?news_id=13910
Intervento di Paolo De Nictolis a.k.a. natasha del 12-03-2006 ore 18:22, Tramutola (PZ)
Duca
(2051 interventi)
Iscritto il 23-05-2005
Chiedo scusa per il curioso errore, solo in parte giustificato dal fatto che è quantomeno una singolare coincidenza che partano in contemporanea due "security context" sulla stessa piattaforma.
Non credo comunque che questo influisca in alcun modo sulle considerazioni che ho espresso: in effetti, la notizia era solo un pretesto per ribadirle.
Iniziative di questo genere hanno un indubbio valore per le Case costruttrici, poichè consentono di effettuare dei test estensivi sulla sicurezza, ed assumono una valenza "pubblicitaria", ma che una configurazione "esposta" resista un'ora o un anno non autorizza nessuno a trarre conclusioni.
In effetti, mi torna in mente l'arcinota diatriba fra IBM e Microsoft, se fossero necessarie meno linee di codice con .NET o con J2EE per implementare il sito di e-commerce "Petstore".
Le variabili in gioco sono talmente tante, che trarre delle conclusioni tagliate col coltello mi sembra francamente eccessivo.
Come ho affermato più volte, sono agnostico rispetto alle tecnologie: è il modo in cui vengono progettate, implementate, manutenute a fare la differenza.
Non credo comunque che questo influisca in alcun modo sulle considerazioni che ho espresso: in effetti, la notizia era solo un pretesto per ribadirle.
Iniziative di questo genere hanno un indubbio valore per le Case costruttrici, poichè consentono di effettuare dei test estensivi sulla sicurezza, ed assumono una valenza "pubblicitaria", ma che una configurazione "esposta" resista un'ora o un anno non autorizza nessuno a trarre conclusioni.
In effetti, mi torna in mente l'arcinota diatriba fra IBM e Microsoft, se fossero necessarie meno linee di codice con .NET o con J2EE per implementare il sito di e-commerce "Petstore".
Le variabili in gioco sono talmente tante, che trarre delle conclusioni tagliate col coltello mi sembra francamente eccessivo.
Come ho affermato più volte, sono agnostico rispetto alle tecnologie: è il modo in cui vengono progettate, implementate, manutenute a fare la differenza.
Intervento di Filippo Fadda a.k.a. dedalo del 12-03-2006 ore 22:23, Capriata d'orba (AL)
Duca
(1967 interventi)
Iscritto il 03-04-2001
Grazie ingez per l'informazione.
Intervento di Valentini Nicola a.k.a. ingez del 13-03-2006 ore 02:19, Firenze (FI)
Plebeo
(5 interventi)
Iscritto il 11-01-2005
Prego.
Avete mai provato a modificare i vostri commenti?
A me viene visualizzata una pagina in cui si legge:
Siamo spiacenti, ma la pagina richiesta è inesistente.
Avete mai provato a modificare i vostri commenti?
A me viene visualizzata una pagina in cui si legge:
Siamo spiacenti, ma la pagina richiesta è inesistente.
Intervento di Filippo Fadda a.k.a. dedalo del 13-03-2006 ore 14:46, Capriata d'orba (AL)
Duca
(1967 interventi)
Iscritto il 03-04-2001
Sì lo so, è un bug noto, non appena troveremo il tempo lo sistemeremo. E' cosa di pochi minuti ma non trovo mai un attimo per aggiustare la cosa.
Copyright Programmazione.it™ 1999-2013. Alcuni diritti riservati. Testata giornalistica iscritta col n. 569 presso il Tribunale di Milano in data 14/10/2002. Pagina generata in 0.342 secondi.