Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

dovella — Mon, 31 Mar 2008 23:48:56 GMT

Ho letto l'articolo del Sign Luca Annunziata che più di una volta ha dimostrato (a mio avviso) di essere un fanboy APple, mi sono accorto immediatamente che non ha spiegato realmente i fatti, si è limitato a dire che WIndows Vista è caduto qualche ora dopo , mentre invece era il giorno dopo e con regole diverse.

Andrebbero chieste spiegazioni del perchè di questo articolo

re: Non godo mai.

Franz — Tue, 01 Apr 2008 00:15:05 GMT

Ad onor del vero c'è a dire che l'attacco è stato possibile solo grazie ad una falla di Safari (e non di Mac OS X)

e al fatto che l'hacker fosse fisicamente collegato al MacBook Air con un cavo ethernet crosslink.

Attraverso la rete nessun attacco è ancora riuscito.

Comunque auguri al signore che s'è guadagnato il portatile e 10.000 dollari.

Grazie a lui Apple sistemerà entro un paio di settimane la falla, che per contratto non è stata resa pubblica.

;-)

Cerea.

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

Feliciano Intini — Tue, 01 Apr 2008 11:55:15 GMT

Ciao Franz, il mio post non intendeva entrare nel merito tecnico... ma visto che ti interessa direi, per essere più preciso:

- le regole della gara al giorno due richiedevano l'uso di software preinstallato: quindi che la falla sia in Safari per Apple è come dire che sia in Internet Explorer per Microsoft... non cambia le considerazioni sulla gestione della sicurezza del vendor

- Ok attraverso la rete (regole del primo giorno) nessuno è stato bucato: questo vuole solo dire che non si sono evidenziate vulnerabilità sfruttabili da malware tipo worm, tutto qui...

- Un attacco realizzato tramite browser non è meno pericoloso di uno fatto via rete: quello che conta sono la tipologia della vulnerabilità e i privilegi sfruttabili, che in questo caso non sono stati rivelati per l'accordo di non disclosure. Ma visto che la gara richiedeva di raggiungere il fine della conquista del controllo del sistema... questo vuol dire che la vulnerabilità era grave abbastanza per raggiungere questo obiettivo!

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

Franz — Tue, 01 Apr 2008 13:35:08 GMT

Sei stato precisissimo.

Ripeto, è stato un bene trovare la falla: Apple si occuperà di rendere il browser più sicuro, almeno più di IE7.

;-)

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

dovella — Tue, 01 Apr 2008 13:57:46 GMT

@Franz mi pare di capire che se in 2 minuti ha trovato una falla critica , questo in mezz' ora ti combinava un macello, e sempre limitandosi alle regole.Quando un hacker si trova a casa proprio di regole non ne ha per creare ne per diffondere.

@Feliciano ma sarebbe opportuno ora per i mac user usare un Antivirus ?

come possono proteggere il sistema dove apple lascia u buchi??

Quale, tra Windows, Mac OS e Linux, è il sistema più sicuro?

Security Blog di Feliciano Intini — Tue, 01 Apr 2008 15:36:47 GMT

Il mio post di ieri sulle problematiche di sicurezza di Apple e quello letto oggi su Punto Informatico

E' possibile confrontare tra loro i diversi sistemi operativi, Windows, Mac OS e Linux?

Welcome to MClips — Tue, 01 Apr 2008 18:16:25 GMT

Sarebbe possibile indire un concorso a premi per eleggere il miglior sistema operativo (SO) oggi in circolazione

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

gnoccaSenzaTesta — Tue, 01 Apr 2008 18:46:58 GMT

Ma che significa che Vista è stato bucato tramite Flash? Flash esegue con privilegi dell'utente correntemente loggato nel sistema, che su Vista sono limitati di default. Quindi l'unica cosa che hanno potuto fare è eseguire del codice con privilegi limitati. In conclusione, secondo me sta notizia è l'ennesimo FUD sparato a zero su Vista.

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

gnoccaSenzaTesta — Tue, 01 Apr 2008 18:57:31 GMT

Poi, per bucare linux ubuntu bastava che installassero vlc videloan che è da mesi affetto da una vulnerabilità non patchata di tipo buffer overflow, sfruttabile da remoto.

Questo mi fa pensare che gli hacker erano di parte... non potevano certo farsi un autogol da soli verso il proprio tux!

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

dovella — Tue, 01 Apr 2008 20:33:36 GMT

Linux è stato volutamente salvato

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

marcello — Tue, 01 Apr 2008 22:32:45 GMT

@dovella: complotto internazionale? ma per favore...

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

dovella — Tue, 01 Apr 2008 22:50:26 GMT

no nessun complotto, favoritismo

Sempre a proposito di sicurezza...

Normal people bore me! — Wed, 02 Apr 2008 09:44:52 GMT

Sempre a proposito di sicurezza...

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

Riccardo — Tue, 08 Apr 2008 11:58:43 GMT

@tutti: bisognerebbe considerare che la vulnerabilità di Safari è stata sfruttata tramite un rootkit che ha richiesto una settimana di preparazione. E, che da quanto è dato sapere per vie "ufficiose" come canali IRC dedicati, detto rootkit permette di ottenere i privilegi dell'utente loggato sulla macchina. Nulla di più. In ogni caso attendiamo chiarimenti. Vista è stato attaccato tramite Flash e la colpa è di Adobe. Punto. E' un sistema ragionevolmente sicuro. Fino a prova contraria. Per quanto riguarda Ubuntu, bè, il parco software installato non contempla certo plug-in proprietari e quindi nulla di fatto. In ogni caso, la stessa versione di Flash presente su Vista è stata installata e messa in esecuzione su Ubuntu, ma non ha dato nessun risultato. E questo va considerato.

re: Non godo dei tempi duri che sta attraversando la sicurezza di Apple...

Feliciano Intini — Thu, 10 Apr 2008 18:57:22 GMT

Ciao Riccardo, in realtà ci sono articoli (scritti sulla base di interviste a chi ha vinto il contest) che danno una luce diversa alle cose e sembrano indicare che altri aspetti (regole del gioco, desiderio di notorietà, conoscenza della piattaforma da parte dei diversi partecipanti) hanno portato a quella sequenza di SO compromessi:

More details on the Pwn2Own Flash flaw that won the Vista machine: http://blogs.zdnet.com/security/?p=993

Pwn2Own: What OS really won?: http://blogs.zdnet.com/security/?p=995

L'intenzione del mio post era in realtà porre ancora una volta l'aspetto all'importanza dei processi di revisione del codice dal punto di vista della sicurezza.

I numeri sulle vulnerabilità di Windows Vista? Ottimi ma noiosi... parliamo invece di Apple

Security Blog di Feliciano Intini — Mon, 19 May 2008 19:13:20 GMT

Jeff Jones ha pubblicato un nuovo breve paper di confronto delle vulnerabilità, questa volta focalizzato

Apple continua ad avere un approccio miope ed anacronistico sugli aspetti di Sicurezza

Security Blog di Feliciano Intini — Tue, 03 Jun 2008 14:30:59 GMT

Nella descrizione relativa al problema del browser Safari del Security Advisory appena pubblicato da