Charlie Miller e le venti aperture di OSX

L'esperto di sicurezza si prepara studiando i punti deboli del sistema operativo montato sui Mac. Il risultato sono due decine di vulnerabilità, che solo per caso non sono ancora finite nelle mani sbagliate

Roma – C’è un articolo apparso sulla sezione dedicata alla sicurezza informatica del sito Heise Online . Ha un curioso titolo, Mac OSX: più sicuro, ma meno sicuro . Un articolo che ha riportato alcune dichiarazioni dell’esperto Charlie Miller, già noto per aver scoperto alcuni bug nel sistema operativo made in Cupertino ed essersi portato a casa il premio nella passata edizione dell’ormai celebre competizione hacker pwn2own .

Secondo Miller, Mac OSX sarebbe più sicuro dal momento che Apple ha in questi anni tanto insistito su una significativa affidabilità del suo sistema operativo rispetto a quello di Microsoft. Basata anche sul fatto che non esistono attualmente vulnerabilità generalizzate, precisamente mirate alla creatura software della Mela, anche in virtù di una relativamente scarsa diffusione tra il pubblico consumer rispetto a Windows.

Ma Miller ha anche parlato di un maggiore livello di sicurezza percepito dagli utenti Mac, non sempre corrispondente ad una reale infallibilità del sistema operativo di Cupertino. L’esperto in sicurezza ha infatti annunciato di aver trovato una ventina di falle zero day in OSX , tanto grandi complessivamente da poterci far atterrare sopra un boeing 747.

Miller avrebbe scoperto le venti falle attraverso un vero e proprio bombardamento sui canali in entrata delle applicazioni del sistema operativo. Bombardamento avvenuto con una gigantesca serie di inserimenti malevoli. Secondo Miller ci sarebbero numerosi bug nei componenti open source del sistema operativo di Apple, oltre che nei componenti a codice chiuso sia di terze parti che della Mela .

Tutto ciò potrebbe comportare seri problemi anche da remoto per OSX . “OSX ha una grande superficie vulnerabile – ha spiegato Miller – che risiede nei suoi componenti open come webkit e libz, nei componenti di terze parti come Flash, e infine nei propri come Preview”.

Secondo Miller, l’atteggiamento di Apple sul tema sicurezza sarebbe fin troppo rilassato. “Vendono tantissimi computer e nessuno arriva a non comprarli temendo problemi sull’aspetto sicurezza. Quindi, nella loro testa, non esiste un problema sicurezza finché non arrivi a compromettere gli utili. E ciò non è ancora avvenuto”.

Apple dormirebbe quindi su comodi guanciali solo perché lontana dal vivo delle malignità informatiche, mentre a Microsoft spetterebbe un appartamento sprangato dall’interno nel quartiere più malfamato degli attacchi automatizzati. Miller ha poi spiegato su Twitter che non intende spiegare nel dettaglio le venti falle – in precedenza era stata annunciata una conferenza nel corso del prossimo CanSecWest – ma solo illustrare come siano state scoperte.

Mauro Vecchio

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Pippero scrive:
    Però è triste...
    Non sarebbe stato meglio concepire questa tecnologia per descrivere ai ciechi quello che gli sta attorno invece che pensarla per scopi bellici?Bah... :/
  • Stever scrive:
    fico !
    Pensa puntare la telecamera con questo software su un film XXXXX ! :-)
  • Massimo scrive:
    discutibile...
    ""vedono" la realtà per quella che è, senza costrutti dettati dall'immaginazione o errori di valutazione di sorta."dare per scontato che la macchina non possa fare errori di valutazione mi pare molto ingenuo... a meno che non sia programmata da qualcuno in grado di prevedere "ogni eventualità". e allora a sto punto mandiamo questo semidio a fare il lavoro che dovrebbero fre le cam-bot
    • Redpill scrive:
      Re: discutibile...
      - Scritto da: Massimo
      ""vedono" la realtà per quella che è, senza
      costrutti dettati dall'immaginazione o errori di
      valutazione di
      sorta."
      dare per scontato che la macchina non possa fare
      errori di valutazione mi pare molto ingenuo... a
      meno che non sia programmata da qualcuno in grado
      di prevedere "ogni eventualità". e allora a sto
      punto mandiamo questo semidio a fare il lavoro
      che dovrebbero fre le
      cam-botIo mi fermerei già a "la realtà per quella che è". Concetto interessante :)
      • Massimo scrive:
        Re: discutibile...
        - Scritto da: Redpill
        - Scritto da: Massimo

        ""vedono" la realtà per quella che è, senza

        costrutti dettati dall'immaginazione o errori di

        valutazione di

        sorta."

        dare per scontato che la macchina non possa fare

        errori di valutazione mi pare molto ingenuo... a

        meno che non sia programmata da qualcuno in
        grado

        di prevedere "ogni eventualità". e allora a sto

        punto mandiamo questo semidio a fare il lavoro

        che dovrebbero fre le

        cam-bot

        Io mi fermerei già a "la realtà per quella che
        è". Concetto interessante
        :)Sì bé poi qui scomodiamo addirittura ontologia, filosofia, psicologia...oh, ci sarebbe da divertirsi
  • attonito scrive:
    errori visivi
    mi chiedo: cosi' come l'occhio - e la mente - umani sono ingannati da artifici appositi (tuta mimetica, volto dipinto, camuffamente etc) allora anche un software - sviluppato su parametri umani - dovrebbe avere gli stessi problemi, no?
    • Ciccino Cuoricino scrive:
      Re: errori visivi
      No. Ne avrà altri.
    • Redpill scrive:
      Re: errori visivi
      - Scritto da: attonito
      mi chiedo: cosi' come l'occhio - e la mente -
      umani sono ingannati da artifici appositi (tuta
      mimetica, volto dipinto, camuffamente etc) allora
      anche un software - sviluppato su parametri umani
      - dovrebbe avere gli stessi problemi,
      no?Penso che il principale difetto umano nell'interpretazione visiva sia dare per scontate tante cose. E ciò è alla base del camuffamento. Se dessimo attenzione totale a tutto ciò che guardiamo vanificheremmo in gran parte l'effetto mimetico di ciò che osserviamo. Una Cam-Bot osserva senza esperienza mentre se io vedo una finestra su una parete do per scontato, e per esperienza, che su quella parete ci sia una finestra, mentre in realtà può essere un trompe l'oeil molto realistico.
      • collione scrive:
        Re: errori visivi
        esatto ma il non prestare attenzione ai dettagli è un modo per evitare un flooding di dati verso il cervellomi chiedo se questi sistemi pensati dal DARPA siano tanto potenti da potersi permettere il lusso di prestare attenzione a qualsiasi pagliuzza che svolazza in aria
      • Massimo scrive:
        Re: errori visivi
        - Scritto da: Redpill
        - Scritto da: attonito

        mi chiedo: cosi' come l'occhio - e la mente -

        umani sono ingannati da artifici appositi (tuta

        mimetica, volto dipinto, camuffamente etc)
        allora

        anche un software - sviluppato su parametri
        umani

        - dovrebbe avere gli stessi problemi,

        no?

        Penso che il principale difetto umano
        nell'interpretazione visiva sia dare per scontate
        tante cose. E ciò è alla base del camuffamento.
        Se dessimo attenzione totale a tutto ciò che
        guardiamo vanificheremmo in gran parte l'effetto
        mimetico di ciò che osserviamo. Una Cam-Bot
        osserva senza esperienza mentre se io vedo una
        finestra su una parete do per scontato, e per
        esperienza, che su quella parete ci sia una
        finestra, mentre in realtà può essere un trompe
        l'oeil molto
        realistico.non vedo perché una cam-bot non potrebbe essere ingannata da un trompe-l'oeil... la cam non ha esperienza, ma i programmatori sì. ci saranno comunque dei riferimenti standard, delle chiavi interpretative degli stimoli percettivi. non c'è l'emotività, non c'è la distrazione, non ci sono le aspettative... ma ciò comporta senz'altro limiti interpretativi che in qualche caso possono essere sfruttati da chi vuole ingannare. la macchina non... intuisce, non "fiuta" l'inganno. non ha "pensiero laterale", capacità di cambiare magari per un attimo lo schema interpretativo. l'uomo talvolta sì.vedremo, ma questo mito dell'infallibilità della macchina in quanto macchina, della fallibilità che è solo umana... la macchina la costruisce l'uomo, per ora. e non so se sia in grado di costruira una macchina onniscente...
        • attonito scrive:
          Re: errori visivi

          non vedo perché una cam-bot non potrebbe essere
          ingannata da un trompe-l'oeil... la cam non ha
          esperienza, ma i programmatori sì. ci saranno
          comunque dei riferimenti standard, delle chiavi
          interpretative degli stimoli percettivi.hai estrinsecato quello che io avevo lasciato tra le righe.Anni fa vicino a casa c'era un thumpe l'oil: il marciapiede finiva contro il muro e sul miro c'era un pannello stampato che rappresentava una porta aperta su un corridoio che sembrava proseguire all'interno del muro: visto frontalmente e ad una decina di metri di distanza, le linee del marciapiede e della parete collimavano con punto di fuga del thumpe l'oil e non si riusciva a distingiere che il pannello non fosse veramente in corridoio.Altro giochino: sul muro di una casa era disegnata un'ombra che rappresentava un semaforo, ma il semaforo che proierrava la supposta ombra no c'era.Ora: se il mio occhio e' ingannato perche mi baso su parametri valutativi oggettivi e se io programmo il software con gli stessi parametri valutativi.... bang. Boh, vedremo.
  • Dominus scrive:
    ideona
    A quando il computer che me lo regge mentre faccio pipi? ;)
Chiudi i commenti