Primo giorno di CanSecWest, meeting e conferenza per hackers “white hat”, e come sempre da qualche tempo gli sforzi di tutti i partecipanti all’immancabile concorso per lo scardinamento delle barriere di sicurezza, si concentrano su iPhone che, come preannunciato, cade.
L’hack è stato eseguito da Philipp Weinmann in collaborazione con l’italiano Vincenzo Iozzo che sono riusciti a rubare dall’iPhone vittima l’intero database dei messaggi SMS, inclusi quelli già cancellati dall’utente.
L’attacco ha preso il via dalla visita di un sito Web controllato dagli hacker (ipotetici) in cui è celato il codice malevolo: quest’ultimo entra in funzione ed esegue l’upload di tutti gli SMS in memoria, senza che l’utente se ne accorga. Una tecnica nuova e studiata per mesi grazie alla quale i due esperti di sicurezza si sono aggiudicati il premio di 15mila dollari.
Ricordiamo che Vincenzo Iozzo è già stato protagonista nel mondo della sicurezza per la scoperta di alcuni sistemi di attacco originali nei primi mesi del 2009. La sua tecnica per iniettare codice malevolo nella RAM di un sistema Mac OS X è stata presentata nella Black Hat Conference dell’anno scorso.
iPhone non è stato l’unico prodotto Apple a cadere. Mantenendo la tradizione che usa la Mela come un fattore pubblicitario (sia per la visibilità del marchio che per il fatto che nella vulgata Apple fa prodotti più sicura) è stato attaccato anche Safari su Mac. La competizione Pwn2Own è stata vinta dal famoso Charlie Miller, esperto di sicurezza in ambiente Mac presso Independent Security Evaluators. In questa occasione Miller non ha fornito dettagli circa la tecnica utilizzata per il nuovo attacco, specificando solamente che il computer vittima è stato compromesso dopo la visita ad un sito contenente codice malevolo. Per l’impresa Miller si è aggiudicato il portatile Mac vittima dell’hack e un premio in denaro di 10mila dollari. Grazie a questo nuovo hack Charlie Miller è l’unico hacker ad aver vinto per tre anni consecutivi il Pwn2Own: ricordiamo il premio di 10mila dollari nel 2008 e di 5mila dollari nel 2009 sempre con un hack in Safari.
Il giovane hacker che è riuscito a “bucare” Firefox, infine, è conosciuto solamente con il nome di Mils: l’esperto si è rifiutato di fornire il cognome durante l’evento. Nils si è aggiudicato il premio di 10mila dollari, mentre l’anno scorso ne aveva vinti 15mila dimostrando l’hack su Internet Explorer 8, Safari e Firefox.
Gli osservatori e gli esperti di sicurezza presenti al Pwn2Own hanno infine giudicato come “tecnicamente impressionante” l’hack eseguito da Peter Vreugdenhil eseguito per attaccare Internet Explorer 8 su una macchina con Windows 7. L’attacco suddiviso in 4 parti ha superato due tecnologie implementate proprio per evitare questo tipo di minacce eseguite tramite browser, siglate ASLR cioè l’Address Space Layout Randomization e poi anche il DEP, dalle iniziali di Data Execution Prevention. Al termine dell’operazione l’hacker ha ottenuto i privilegi di un utente per eseguire qualsiasi operazione sul computer vittima, che sono stati utilizzati nella prova per lanciare l’esecuzione della calcolatrice di Windows.
Ricordiamo che TippingPoint la società specializzata in sicurezza che organizza e finanzia il Pwn2Own non divulga le tecniche sfruttate negli hack. I diritti circa le tecnologie e i metodi di attacco diventano di proprietà di TippingPoint che li comunica immediatamente ai costruttori e agli sviluppatori interessati che così possono risolvere le falle.
Ricordiamo anche che questi eventi, come accennato ben sponsorizzati e dotati di ricchi premi in denaro e hardware, sono preparati per mesi e mesi dagli hackers per i quali vincere il contest significa portarsi a casa una buona fetta del proprio reddito annuo. In molti casi le tecniche usate sono applicabili sono in casi molto particolari e anche se si chiudono con vittorie conseguite in pochi secondi sono del tutto irriproducibili in un contesto di vita reale, tanto meno nel breve tempo impiegato dagli hackers.