hit counter
Non godo dei tempi duri che sta attraversando la sicurezza di Apple... - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

  • Comments 17
  • Likes

Chi di voi mi segue assiduamente (grazie!) può testimoniare che questo blog ha da sempre evitato fermamente di scivolare in facili guerre di religione sulla superiorità di questo o quel sistema operativo rispetto alle problematiche di sicurezza. Avrei potuto tante volte riportarvi i report di vulnerabilità del CERT sulle piattaforme concorrenti di Microsoft per tentare di equilibrare l'evidente squilibrio di enfasi che la stampa pone sulle vulnerabilità Microsoft rispetto al disinteresse verso quelle non-Microsoft, ma ho sempre tralasciato questo atteggiamento di "marketing" negativo, preferendo sempre di gran lunga raccontarvi tutti i grandi progressi che Microsoft sta realizzando sul tema sicurezza, passo dopo passo, da quando (negli anni 2000-2003) ha dovuto reagire a quell'importante danno di immagine e di credibilità provocato dalla diffusione dei temibili worm (CodeRed, Nimda, Slammer, Sasser...). Questo lungo preambolo mi serve per ribadire ulteriormente che il fine con cui vi segnalo queste due notizie sulle problematiche di sicurezza che sta affrontando la piattaforma Apple non è quello di chi, come direbbe Confucio, "seduto sulla riva del fiume vede finalmente passare il cadavere di uno dei suoi nemici...".

Prima notizia: quasi sicuramente avete tutti letto del fulmineo successo nell'attacco all'Apple MacBook Air durante la gara PWN2OWN tenuta durante la conferenza CanSecWest. Per valutare in modo più equilibrato come emerge il confronto tra i diversi sistemi è bene che leggiate come si siano evolute le regole della gara: notate come l'articolo cerchi di far notizia con il fatto che Windows Vista sia stato il secondo a cadere, per poi leggere che ciò sia stato possibile grazie ad una vulnerabilità di Adobe Flash (!!). Avrei voluto capire se Linux fosse stato analogamente equipaggiato con gli stessi plug-in Adobe e, nel caso, quali aspetti del sistema operativo abbiano permesso di rimanere immune all'attacco che invece ha funzionato su Vista: peccato che questi dettagli tecnici nessuno riesca mai a darli... :-(... Anche l'articolo di Luca Annunziata su Punto Informatico fa emergere interessanti interrogativi su quali dinamiche partigiane possano nascondersi dietro queste gare...

Prima considerazione: come Roberto Scaccia, mi trovo a ribadire da un lato la sorte comune di TUTTO il software nel doversi evolvere per ridurre le vulnerabilità di sicurezza, dall'altro a segnalare l'importanza fondamentale dei processi di sviluppo di codice sicuro, quello che per Microsoft è l'SDL (ve lo ripeterò fino alla noia...). Nel caso in oggetto: Vista poteva essere super blindato, ma se Adobe Flash non lo era siamo punto e a capo...

Seconda notizia: il paper "0-Day Patch - Exposing Vendors (In)security Performance" di due ricercatori svizzeri esposto al BlackHat Europe 2008 ha evidenziato un confronto Microsoft-Apple che risulta impietoso per la credibilità degli aspetti di sicurezza di Apple (soprattutto alla luce dei proclami con cui Apple ha vantato tale superiorità...). Lascio il commento alle parole di Ollmann dell' ISS X-Force Team di IBM che scrive:

"In essence, with their “0-day Patch” metrics, they managed to show just how far Apple is trailing Microsoft in security patch responsiveness – in fact, after inspecting their graphs, Apple appears to be trending entirely in the wrong direction; more vulnerabilities, longer patching times, more 0-days, etc. – not the sort of thing we expect from a well known software vendor.".

Seconda considerazione: sempre Ollmann ipotizza il motivo di tale "wrong direction":

"Apple’s  biggest problem appears to be that they treat every new vulnerability as a potential PR disaster rather than an opportunity to visibly reinforce their work in securing their customers."

Si può provare a muovere qualche critica alla gestione delle vulnerabilità da parte di Microsoft ma di sicuro non si può dire che lo sforzo sia mirato alla difesa dell'apparenza rispetto alla sostanza della difesa dei clienti e dell'affidabilità del business che essi realizzano con la nostra piattaforma.

E' per questo che non godo a leggere queste notizie: lo spirito è quello di chi vede che nessuno (Apple in questo caso) sia stato in grado di imparare la lezione dalla esperienza di Microsoft dei primi anni 2000 e sfruttare strategicamente questo vantaggio. Qual'è il triste risultato? Gli utenti sono costretti a vivere nuovamente il disagio di soluzioni (anche recenti!) che non sembrano aver contemplato la sicurezza in modo nativo, e che potrebbero essere oggetto di nuove minacce visto l'evidente aumento della diffusione di dispositivi Apple: è come se la strada verso la realizzazione del Trustworthy Computing si stesse riallungando... :-(

Share this post :
Comments
  • Ho letto l'articolo del Sign Luca Annunziata che più di una volta ha dimostrato (a mio avviso) di essere un fanboy APple, mi sono accorto immediatamente che non ha spiegato realmente i fatti, si è limitato a dire che WIndows Vista è caduto qualche ora dopo , mentre invece era il giorno dopo e con regole diverse.

    Andrebbero chieste spiegazioni del perchè di questo articolo

  • Ad onor del vero c'è a dire che l'attacco è stato possibile solo grazie ad una falla di Safari (e non di Mac OS X)

    e al fatto che l'hacker fosse fisicamente collegato al MacBook Air con un cavo ethernet crosslink.

    Attraverso la rete nessun attacco è ancora riuscito.

    Comunque auguri al signore che s'è guadagnato il portatile e 10.000 dollari.

    Grazie a lui Apple sistemerà entro un paio di settimane la falla, che per contratto non è stata resa pubblica.

    ;-)

    Cerea.

  • Ciao Franz, il mio post non intendeva entrare nel merito tecnico... ma visto che ti interessa direi, per essere più preciso:

    - le regole della gara al giorno due richiedevano l'uso di software preinstallato: quindi che la falla sia in Safari per Apple è come dire che sia in Internet Explorer per Microsoft... non cambia le considerazioni sulla gestione della sicurezza del vendor

    - Ok attraverso la rete (regole del primo giorno) nessuno è stato bucato: questo vuole solo dire che non si sono evidenziate vulnerabilità sfruttabili da malware tipo worm, tutto qui...

    - Un attacco realizzato tramite browser non è meno pericoloso di uno fatto via rete: quello che conta sono la tipologia della vulnerabilità e i privilegi sfruttabili, che in questo caso non sono stati rivelati per l'accordo di non disclosure. Ma visto che la gara richiedeva di raggiungere il fine della conquista del controllo del sistema... questo vuol dire che la vulnerabilità era grave abbastanza per raggiungere questo obiettivo!

  • Sei stato precisissimo.

    Ripeto, è stato un bene trovare la falla: Apple si occuperà di rendere il browser più sicuro, almeno più di IE7.

    ;-)

  • @Franz mi pare di capire che se in 2 minuti ha trovato una falla critica , questo in mezz' ora ti combinava un macello, e sempre limitandosi alle regole.Quando un hacker si trova a casa proprio di regole non ne ha per creare ne per diffondere.

    @Feliciano ma sarebbe opportuno ora per i mac user usare un Antivirus ?

    come possono proteggere il sistema dove apple lascia u buchi??

  • Il mio post di ieri sulle problematiche di sicurezza di Apple e quello letto oggi su Punto Informatico

  • Sarebbe possibile indire un concorso a premi per eleggere il miglior sistema operativo (SO) oggi in circolazione

  • Ma che significa che Vista è stato bucato tramite Flash? Flash esegue con privilegi dell'utente correntemente loggato nel sistema, che su Vista sono limitati di default. Quindi l'unica cosa che hanno potuto fare è eseguire del codice con privilegi limitati. In conclusione, secondo me sta notizia è l'ennesimo FUD sparato a zero su Vista.

  • Poi, per bucare linux ubuntu bastava che installassero vlc videloan che è da mesi affetto da una vulnerabilità non patchata di tipo buffer overflow, sfruttabile da remoto.

    Questo mi fa pensare che gli hacker erano di parte... non potevano certo farsi un autogol da soli verso il proprio tux!

  • Linux è stato volutamente salvato

  • @dovella: complotto internazionale? ma per favore...

  • no nessun complotto, favoritismo

  • Sempre a proposito di sicurezza...

  • @tutti: bisognerebbe considerare che la vulnerabilità di Safari è stata sfruttata tramite un rootkit che ha richiesto una settimana di preparazione. E, che da quanto è dato sapere per vie "ufficiose" come canali IRC dedicati, detto rootkit permette di ottenere i privilegi dell'utente loggato sulla macchina. Nulla di più. In ogni caso attendiamo chiarimenti. Vista è stato attaccato tramite Flash e la colpa è di Adobe. Punto. E' un sistema ragionevolmente sicuro. Fino a prova contraria. Per quanto riguarda Ubuntu, bè, il parco software installato non contempla certo plug-in proprietari e quindi nulla di fatto. In ogni caso, la stessa versione di Flash presente su Vista è stata installata e messa in esecuzione su Ubuntu, ma non ha dato nessun risultato. E questo va considerato.

  • Ciao Riccardo, in realtà ci sono articoli (scritti sulla base di interviste a chi ha vinto il contest) che danno una luce diversa alle cose e sembrano indicare che altri aspetti (regole del gioco, desiderio di notorietà, conoscenza della piattaforma da parte dei diversi partecipanti) hanno portato a quella sequenza di SO compromessi:

    More details on the Pwn2Own Flash flaw that won the Vista machine: http://blogs.zdnet.com/security/?p=993

    Pwn2Own: What OS really won?: http://blogs.zdnet.com/security/?p=995

    L'intenzione del mio post era in realtà porre ancora una volta l'aspetto all'importanza dei processi di revisione del codice dal punto di vista della sicurezza.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment