MacBook Air bucato in 2 minuti (riflessioni sulla sicurezza) – Aggiornato

AGGIORNAMENTO 1: notare la crassa ignoranzacon cui un giornalista del Corriere.it si esprime sulla vicenda. Piena padronanza della terminologia… ora aspetto quello di repubblica.it! :)AGGIORNAMENTO 2: giusto per chiarezza vorrei far notare il particolarissimo tipo di collegamento presente tra il computer dell’hacker e il computer attaccato, previsto dal regolamento:

Each laptop will only have a direct wired connection (exposed through a crossover cable) and only one person may attack each system at a time so that each team’s exploit remains private.

quindi un tipo di situazione molto diversa di quella di un utente che naviga in internet, magari dietro un router con firewall. 😉

Dunque MacBook Air bucato in due minuti… e per forza, è così sottile! 😀
Scherzi a parte, il tema della sicurezza merita una riflessione seria, pacata e profonda, possibilmente libera dai soliti discorsi da bar.

La notizia: nel corso del CanSecWest challenge un MacBook Air con Mac OS X 10.5.2 e Safari 3.1 è stato “bucato” da Charlie Miller, Jake Honoroff, e Mark Daniel. In cosa consista il “buco” non è chiaro, poiché è stato firmato un patto di non divulgazione, ma ciò che è certo è che ha consentito di sfruttare una falla di Safari per impossessarsi in remoto del MacBook Air. Il problema, quindi, parte ancora una volta da Safari.

La mia riflessione: la sicurezza informatica è un tema delicato e complesso. E andrebbe affrontato sempre nel modo più critico possibile, lasciando da parte miti e pregiudizi. È vero: Mac OS X non prende virus e i malware sono merce rarissima adatta a masochisti più che ad utenti ignari, MA il tema della sicurezza non riguarda solo questo: phishing e furti di identità occupano sempre più i pensieri di chi naviga.

Se quindi Apple si è data da fare (?) per creare un OS sufficientemente immune da malware e virus vari, non è stato dedicato apparentemente abbastanza tempo alla progettazione di un browser in grado di proteggere l’utente dai rischi della navigazione, se non con strumenti “integrati”, almeno con la possibilità di installare i tools successivamente.

I primi (forse) a denunciare la situazione sono stati quelli di PayPal, ma a quanto ne so Apple non ha cambiato le cose nemmeno dopo quella critica (male, molto molto male). Ora, sicuramente, sarà costretta a farlo.
È quindi giusto affermare che Apple, forse peccando di presunzione o forse perché finora non ha avuto finora di questi problemi, sia rimasta al palo riguardo la sicurezza della navigazione? Secondo me sì, speriamo risolva presto.

’nuff said

  • Gloutchov

    Mi ritengo fortunato per il fatto che Safari non mi ha mai attratto. Per quanto Apple ne tesse le lodi e, per quanto firefox sia un “succhia-ram”, preferisco quest’ultimo. E… Safari ha abbandonato il mio Dock da tempi ormai remoti.

    Ad ogni modo. Mi preoccupa la politica Apple nei confronti del suo browser e, di quicktime… Speriamo bene!

  • Rickp (ex Sonic)

    Concordo con te Jeby e anche penso che Apple sottovaluti la sicurezza quando si parli di software multi-piattaforma da lei creato: quicktime e safari per win (entrambi hanno avuto problemi di sicurezza in win).
    Probabilmente le buone capacita di creare software sicuro le perde quando il suo software “interagisce con altri ambienti”: navigazione, software multipiattaforma.
    C’e’ anche da dire ke in quel contest NON era permesso l’uso del browsre, ma il regolamento è stato cambiato in itinere!!

  • GiMo

    Mannaggia a blogger m’ha arato via il post che ho postato 😐

    Riassumo brevemente: simpatici tizi, 4 e 4 8, hdd era crittografato ora non lo è più, funzia su tutti i computer/OS/cosi_che_fan_conti

    Il video, che vale anta ila parolehttp://citp.princeton.edu/memory/

  • Jeby

    @ gloutchov: purtroppo Safari è proprio manchevole da questo punto di vista. Altrimenti sarebbe perfetto, io continuo ad usarlo perché comunque trovo buonissima l’esperienza d’uso, ma bisogna farne di strada

    @ rickp: già, QuickTime…. :S

    @ GiMo: eh sì, proprio simpaticissimi i tizi! E in effetti questo è un altro problema, diciamo ad un livello superiore e forse meno sentito. E volendo anche meno facile da attivare, dato che devi avere possesso del computer. Invece per phishing e furti vai di identità basta una mail, un sito internet.

  • GiMo

    Si effettivamente nn ha molto a che vedere con un “banale” phishing… più che altro ha a che vedere col furto di dati, giacché uno suppone che la crittografia in questa maniera sia extrasicura. E quando salta fuori che dallo ieri all’oggi (?) una tecnologia sicurisssssssssima e inespugnabile ahimé… non è più tale…

    E poi m’ha alquanto sconvolto il poter recuperare i dati dalla ram una volta tolta l’alimentazione 😐 😐

  • Melina2811

    Stò facendo il mio solito giro per salutare gli amici dei vari blog che frequento. Ciao da Maria