… ma Safari per primo.

Avevo parlato qualche giorno fa del pwn2own e della strategia di Microsoft, ora a evento concluso si possono analizzare i risultati, con un occhio di riguardo ad Apple.

Sì perché anche stavolta il primo a cadere è stato il browser della mela, non sotto i colpi della coppia Miller/Dai Zovi, ma da parte del team di Vupen Security. Nonostante i disperati tentativi di Apple di inviare un gran numero di patch, Vupen scriveva sul suo Twitter:

Apple has just released Safari 5.0.4 and iOS 4.3 a few minutes before the pwn2own contest. This breaks some exploits but not all !!

Chiarisco una cosa. I browser vengono “freezati” qualche giorno prima della gara, questo per permettere ai partecipanti di avere una piattaforma certa su cui fare i test. Ora i rilasci massivi di patch non servono ovviamente ad impedire il pwn, ma piuttosto a far dire al produttore “ah, vedi, quello 0day l’ho già risolto ieri!“. Questa è ovviamente un’utopia, poiché un ricercatore ha diverse vulnerabilità nel caricatore, quindi alla fine riuscirà lo stesso a bucare il sistema. Magari ci metterà solo più tempo (o magari no, se usa subito quella buona). Quindi anche qui la corsa al fix è totalmente inutile, se non dannosa per l’immagine.

Per quanto riguarda la sicurezza infatti, Apple non è mai stata molto attenta aperta. Questo nasce principalmente dal fatto che fino a OS X, MacOS è stato un sistema molto chiuso e particolarmente sicuro. Anche perché non c’era molto hype attorno all’azienda di Cupertino.

Poi torna Jobs, c’è l’esplosione nel mercato consumer e tutti iniziano a sfoggiare il logo della mela argentata. E tutti iniziano ad interessarsi ai sistemi Apple, che nel frattempo sono diventati Unix-like, quindi più aperti, più a rischio…

Proprio i due ricercatori citati sopra, Charlie Miller e Dino Dai Zovi, vincitori dei tre precedenti pwn2own contro i sistemi Apple, hanno recentemente rilasciato una lunga e dettagliatissima intervista al sito The H Security, in cui partono subito dicendo:

From a targeted attack, however, it has been my experience that finding and exploiting vulnerabilities in Mac OS X is significantly easier than doing so in modern Windows systems (Vista and 7).

E questo è il primo problema. Perché magari è più “sicuro” Mac OS relativamente allo share di mercato inferiore a Windows, ma Microsoft ha fatto sicuramente più passi avanti nella sicurezza dei suoi software.

Parliamoci chiaro Apple dettaglia bene le falle di sicurezza coperte da un aggiornamento, però nel contempo, puntando come sempre a lanci di marketing, non riesce a trasmettere un immagine trasparente agli utenti. Non ci sono bollettini, non ci sono blog e comunità.
Questo porta spesso a pensare di essere più sicuri di quanto in realtà non sia, se poi aggiungiamo qualche passo falso dovuto a mancanza di strategia, appunto, la situazione non è delle migliori.

Il vivere di rendita spesso può provocare molti più danni di quanto non sembri, sia perché se si espongono troppe superfici di attacco prima o poi si viene bucati, sia perché cullarsi sugli allori spesso fa scordare che bisogna lavorare sempre duro.

La chiusura totale può tuttavia anche portare dei vantaggi. Penso all’AppStore ad esempio. Per accedere alla vetrina delle applicazioni per iOS bisogna sottoporre l’applicazione al vaglio di Apple, che ne certifica la bontà. Questa, parliamoci chiaro, è una feature di sicurezza, vedi quello che è successo all’Android Market. Certo, come al solito la chiusura di Apple ha portato numerosi problemi in passato (e molti malumori tra gli sviluppatori anche oggi), però come dicono gli stessi Miller/Dai Zovi:

Having a central location for applications that is monitored in some way by Apple makes it harder for malware authors to get their code out if users start only using the Mac App Store for downloads.

Certo, se poi andiamo di jailbreak e programmi craccati, allora fatti vostri… perché alla fine l’utente è sempre la minaccia più grave.

Quello che mi auguro di vedere da Apple è una maggiore apertura sui temi di sicurezza, perché l’obscurity, ha i suoi vantaggi, ma secondo me continua a dimostrare un timore di fondo nell’affrontare la materia. E questo è indice di scarsa maturità.

Bye!