Alla conferenza annuale Pwn2own, software house che si occupano principalmente di sicurezza digitale ed esperti provenienti da tutto il mondo, stanno cercando di mettere alla prova i più popolari browser disponibili in rete.
L’opportunità di mettere alla prova i software,ma anche le proprie conoscenze, è aperta a tutti i partecipanti; i possibili elementi tra cui scegliere sono: Google Chrome, Mozilla Firefox, Apple Safari e Microsoft Internet Explorer.
La rinomata Google ha voluto mettere ulteriormente alla prova gli utenti, ha infatti bandito una gara, con un generoso premio di 20’000 dollari, per chi fosse riuscito a craccare il suo gioiellino Chrome. E’ naturalmente un grande segnale di sicurezza e di orgoglio della casa produttrice, un pizzico di spavalderia, ma nessuno è riuscito ad oltrepassare le difese del browser; il software pertanto è stato, in termini di sicurezza, il migliore fra i presenti.
Il peggiore è stato Safari, infatti Vulpen, un’azienda francese, è riuscita a far breccia nelle sue difese in appena 5 secondi, utilizzando semplicemente un MacBook Air. Apple ha tuttavia voluto precisare che con il nuovo aggiornamento del software, la vulnerabilità è decisamente diminuita e la maggior parte dei bug sono stati corretti.
I risultati sono molto sorprendenti, fino ad oggi una miriade di utenti ha sempre snobbato il povero Internet Explorer accusandolo di grande vulnerabilità, ma possiamo facilmente constatare che esistono situazioni molto peggiori. E’ importante ricordare che gli ultimi browser mancanti all’appello, quali Firefox e Explorer, sono anch’essi stati violati, ma richiedendo maggior tempo per riuscire nell’intento.
Gli esiti ed i giudizi espressi nell’articolo sono da considerarsi solo ed esclusivamente relativi alla sicurezza e vulnerabilità dei software in questione.
#1Luca
Google in poco tempo sta facendo passi da gigante!
Vedremo le risposte di Firefox e company
#2LoGnomo
Google? Certo certo è chiaro che è uscita indenne da questo Pwn2own, e chissà gli altri.
Scusa ma tu pensi che gli hack ti bucano un browser così su due piedi? Loro ci lavorano nei mesi precedenti alle falle e poi alla presentazione (anche se gli danno codice a caso un exploit è un exploit) applicano quello che hanno fatto nei mesi o settimane precedenti.
Ora ti sembra una casualità ma Google proprio nei giorni prima ha rilasciato 24 PATCH… 24…. è chiaro che non si sono più presentati gli hack (e infatti ci sono state numerose lamentele che uno del team ha mollato tutto e se ne andato e un altro ha voluto tentare lo stesso, ma inutilmente). Cioè non è infatti un comportamento corretto, ti do uno schifo e lo lascio uno schifo fino ai test per poi rilasciare tutte le patch di colpo e così ti frego. Gli altri browser hanno rilasciato poche pacth e comunque a distanza di una settimana. Sicurezza certo…
#3Nicola Pietragalla
ahahahaha azz, addirittura? migliorati rispetto all'anno scorso?
così dice coupertino? ma se ben ricordo comunque l'anno scorso ci vollero
un paio d'ore per bucare safari, quest'anno addirittura 5 secondi!!!
ebbè sono stati fatti notevoli passi da gigante e apple non si è smentita,
al solito… 🙂
#4Jack87
Hahaha resti oggi come sempre uno sfigato!
#5Nicola Pietragalla
ahahahahah resti come oggi e come sarai domani un povero boccalone 🙂
spendili i tuoi 2000 euro di techschifezza, tanto avete i pc più sicuro del mondo
(ma anche no) gli smartphone più sottili del mondo (ma anche no)
la tecnologia più avanzata del mondo (ma anche no)
e l'utenza più esperta in tech del mondo (ma anche no) 😀
#6Nicola Pietragalla
ed io che mi aspettavo commenti del genere:
"ma vedi che safari integra la tecnologia "tizia" e quella "caia"
che lo rendono più sicuro"
oppure "devi sapere che con gli ultimi aggiornamenti
è stato introdotto il metodo di protezione "sempronio"
come sempre v oi fanboy non vi smentite mai, ed i vostri
commenti rasentano il ridicolo 🙂
#7Ralph
Tu invece sarai un povero nerd wannabe che si spara le seghe col suo nuovo Ipad mentre piange dentro perchè dopo l'uscita del tuo catorcio ne esce già un' edizione nuova dove non cambia un cazzo ma che devi avere per sentirti realizzato. Come gli altri poveri rincoglioniti che come te ritengono Mac al di sopra di tutti senza sapere che in realtà ve lo piantano in culo pian piano. BRAVO! Non mi fai ridere solo perchè ho pietà dei ritardati.
#8stefano
scusa ma che centra, la gente veniva là con gli exploit già pronti, o almeno con in testa già i comandi da eseguire. il 99% del lavoro l'hanno fatto a casa, o al lavoro, nelle settimane/mesi scorsi
#9Nicola Pietragalla
ma non è esattamente così, venivano con ciò che credevano
fosse un exploit già pronto ma anche l'anno scorso abbiamo visto come peter v.
anche con explorer ha sudato 7 camicie per entrare, ha dovuto
strutturare un attacco a 3 livelli sul posto e c'ha messo
una settimana, altro che "tutto già pronto"
il problema come al solito è la recidività e la mancanza
di adozione di veri sistemi di protezione innovativi,
seppure fosse che si erano studiato tutto a tavolino
il fatto che siano passati dal 2010 a questione di ore
al 2011 a questione di secondi fa sospettare
che l'hanno prossimo all'accensione avranno
già l'accesso, qui non sono sotto inchiesta i metodi
utilizzati nel fare fuori i broeser
ma ciò che fanno le case produttrici per rendere sicuri
i browser e i loro sistemi, e i risultati sono stati palesi.
#10stefano
ascolta, uno può scrivere un exploit in 10 secondi dopo aver passato mesi a trovare una falla da sfruttare come ci può mettere 1 ora dopo aver passato un giorno per scovare la falla.spero tu abbia capito dove voglio arrivare (non sto alludendo a nessun browser in particolare).
per quanto riguarda quest'edizione, il team francese ha violato safari usando una falla comune di webkit e che ha lavorato sull'explot per due settimane. non so quanto tempo ci abbia messo durante la prova Stephen Fewer, ma anche il suo attacco a ie è stato "molto veloce", come testimonia quest'articolo http://www.h-online.com/security/news/item/Pwn2Ow…
#11LoGnomo
Gli danno pezzi di codice a caso, o comunque non decidono loro che parti di codice analizzare per individuare dei buchi.
#12cybersun
………..ma che diavolo stai dicendo?? ogni team crea una pagina web, o anche solo uno script con annesso un exploit e facendolo/a eseguire al browser di turno cerca di prendere possesso del sistema
#13claudio
dall'articolo francamente si capisce poco (e alcune delel immagini sono di versioni passate del pwn2own). Ho dato un'occhiata a qualche sito inglese e ho letto che nel primo giorno sono stati exploitati safari e ie8 (su win7 64 bit) il primo in 5 secondi (dato venuto a galla da un post su witter del team vincitore), il secondo sfruttando 3 falle che anno permesso di bypassare dep, aslr e la modalità protetta (exploit elaborato in 6 settimane di ricerca).. nel secondo giorno sarebbe dovuto toccare a firefox e chrome ma in entrambi i casi gli sfidanti si sono ritirati. Quindi per quando riguarda il settore desktop solo ie e safari (su mac os e win 7 64 rispettivamente) sono stati brecciati. Va però dato atto a microsoft che non ha maxi-patchato il suo browser negli ultimi giorni come invece hanno fatto google apple e mozilla. I dati dovrebbero essere definitivi perchè mi pare che il terzo giorno sia interamente adibito agli smartphones, ma aspetto qualche conferma.
#14abral
Ma perché date notizie sbagliate? Basta soltanto un pò di pubblicità per rendere tutti ciechi?
Firefox non è stato violato! Perché dovete dire una palla?
#15Adamo
Mica è la prima volta che lo fanno questa settimana: vatti a leggere l'articolo marchetta con il quale "dimostravano" che IE9 sarà nettamente migliore di FF4 (molto divertenti i commenti in cui si diceva che IE è il browser più sicuro in circolazione: da crepare dalle risate!)
#16sabba
ha vinto chrome perchè mancava il più sicuro dei browser.. ehehwh 😉
#17Heartripper
Non è vero. Sia chrome sia firefox non sono stati violati, ma perchè chi doveva tentare di violarli si è ritirato.
http://www.everyeye.it/tech/notizia/pwn2own-2011-… http://www.everyeye.it/tech/notizia/pwn2own-2011-… http://www.italiasw.com/news/pwn2own-2011-giorno-…
#18LoGnomo
Ci credo, Google ha rilasciato subito nei giorni prima BEN 24 PATCH per il suo browser.
Cioè povero team…. Settimane di lavoro per poi vedere tutto sfumato. è un comportamento da parte di Google poco corretto, non puoi rilasciare tutte queste patch prima dell' evento. è chiaro che così vanifichi tutti gli sforzi degli hack…. Infatti ci sono state anche lamentele da parte proprio di questo team, uno non si è presentato nemmeno l' altro ha tentato, chiaramente invano, di attivare gli exploit (e ce li aveva già pronti quindi testati e funzionanti).
Google fai veramente pena…. Stai diventando peggio della Apple. Tutto per sto caxxo di marketing e pubblicità (fasulla).
#19avc
veramente la apple ha molto di che vergognarsi.. rispetto a google
#20Carlo Coppa
Cavolo nemmeno davanti all'evidenza….
#21LoGnomo
Quoto xD
#22LoGnomo
Avete scritto un articolo poco chiaro su un argomento molto importante. Meglio che correggete gli errori e date precisazioni.
Chrome non è stato violato perchè il team in questione non si è ancora presentato mentre Safari, Firefox e IE8 sono stati violati, Safari in pochissimo tempo mentre IE8 ha comunque una buona sicurezza.
Riguardo al reparto mobile chiaramente iPhone violato come niente (e la Apple continua a tirare fuori scuse davanti all' evidenza, assurdo… -.-) mentre Android e WP7 non si sa il team se si sono ritirati o no.
#23stefano
solo safari (su mac os) e ie8 (su win7 64 bit) sono stati violati; quelli che dovevano provare a brecciare chrome e firefox si sono ritirati (nel caso di firefox perchè l'exploit era troppo instabile). passando alla telefonia, è vero che nè android ne wp7 sono stati violati, ma è anche vero che i team iscritti non si sono nemmeno presentati . per quanto riguarda il ritiro durante l'attacco a chrome e firefox, è probabile (ma è solo una mia supposizione) che sia dovuto al recentissimo maxi aggiornamento dei due browser in cui numerose falle critiche sono state riparate.
#24Adamo
E FF è stato violato nel tuo cervello di gnomo e in quello dei marchettari articolisti di geekissimo, il giornale degli sfigati "click e avanti" malati di Windows.
#25Nicola Pietragalla
io direi anche che forse sono un pò tutti maleinformati, io ricordo di aver letto
che si doveva mettere sotto torchio ie9 a questa edizione
non ie8, mi sa che vi siete tutti letti info in riguardo al pwn2own vecchio
o chi ha redatto informazioni in riguardo a quello del 2011 deve
aver fatto un pò di confusione, soprattutto il commento di claudio
mi sembra abbia molti richiami a ciò che fu fatto da peter v.
l'anno scorso su ie8 (sono supposizioni le mie eh)
#26claudio
si, ricorda molto quello che fu fatto l'anno scorso ma del resto è normale, per penetrare ie + win 7 non c'è altro modo che bypassare uno dopo l'altro tutti gli strati di protezione di microsoft (dep, aslr e modalità protetta), l'unica differenza sta nelle falle scovate per portare a termine l'attacco. ie9 e firefox4 devono ancora essere ufficialmente rilasciati (e quindi sono potenzialmente pieni di falle); l'anno prossimo cmq saranno loro i bersagli del pwn2own