Al terzo Pwn2Own contest alcuni risultati interessanti: violazione di Windows e Mac OS X mediante attacchi "0 day" apportati dai partecipanti ai principali browser disponibili sulle due piattaforme.
A quanto pare, i vincitori del contest hanno impiegato pochissimi minuti per aggiudicarsi la vittoria, a fronte di una precedente preparazione. Nessuno, tuttavia, è stato in grado di ottenere un analogo risultato con gli smartphone, in una sessione dedicata proprio a questo tipo di device mobili. I dispositivi (Blackberry, Android, iPhone, Nokia/Symbian e Windows Mobile) hanno dato prova di una maggiore robustezza, tanto che si è potuto parlare solo di "simulated stack overflow vulnerability" in una presentazione durante lo svolgimento della manifestazione. Questa, e la violazione inaspettatamente (?) facile di Mac OS X sono state le notizie più rilevanti del Pwn2Own contest.
Qualche considerazione:
- da tempo si afferma che i device mobili mantengono il primato della sicurezza, rispetto ai PC, nonostante la crescente complessità, ed il contest ne da una conferma. E' doveroso affermare, tuttavia, che tali dispositivi presentano rispetto ai cugini maggiori una serie di limitazioni funzionali che riducono l'effettiva esposizione al rischio, nonostante il DNA multicanale di questa fascia di prodotti. L'articolo citato in calce inoltre aggiunge a questo limite la frammentazione del mercato.
- da maggior tempo il browser è, in quanto vera e propria finestra sul mondo della rete, uno dei componenti di maggiore rischio per i sistemi utente, e l'esposizione al rischio non può che aumentare con la complessità dei componenti necessari alla fruizione del Web 2.0, paragonabili alle tradizionali applicazioni installabili sui PC. In questo articolo, nel quale parla l'autore di uno degli exploit, si discute delle funzionalità di sandboxing dei browser come uno dei possibili meccanismi di mitigazione dei rischi, funzionalità che è facile aspettarsi sarà maggiormente diffusa tra i browser ma anche messa a dura prova nei prossimi mesi.
- (infine) è bene sfatare falsi miti: non esistono sistemi operativi o applicazioni che non sono soggetti a vulnerabilità e quindi anche, ad esempio, al malware. Casomai, vi sono sistemi operativi o applicazioni più soggetti ad essere messi a dura prova dagli sviluppatori di codice maligno: uno dei motivi è certamente l'ampia diffusione sul mercato. E' anche lecito attendersi che tale esposizione a tentativi di attacco porti ad una maggiore maturazione i prodotti che risultano attualmente più attaccati, ma sopratutto che talune tecniche nate per determinati sistemi operativi o applicazioni si dimostrino altrettanto, se non più, efficaci con altri. La storia del "ping of death" l'ha dimostrato in tempi non sospetti...
Commenti