Sandboxing FAIL @ Polito

January 27th, 2009 at 05:51pm dark

Gli studenti del Politecnico di Torino già conoscono le mitiche macchinette blu (i “totem”) che permettono di stampare statini, certificati ed eseguire semplici operazioni di segreteria. I medesimi studenti sanno anche che detti computer sono sandboxed, cioè le azioni che l’utente può compiere sono limitate a quelle che i sistemisti considerano accettabili: browser personalizzato con accesso alla sola rete interna, applet Java dedicati per l’uso dei servizi di segreteria, eccetera…
Uhm… ne siete davvero sicuri? 🙂

No.

FAIL

Mentre ero lì che stampavo statini per gli esami di questo periodo è comparso un piccolo pop-up che mi chiedeva s’io volessi aggiornare Adobe Acrobat Reader all’ultima versione disponibile. Avrei potuto lasciarmi scappare un’occasione del genere? Ancora una volta, no 🙂 Sono andato avanti nell’esplorazione, assieme agli amici della compagnia della nerdizia (di Strategia ed Innovazione).
Rispondendo affermativamente alla richiesta si è aperta una pagina del sito della Adobe. Innanzitutto abbiamo scaricato l’aggiornamento suggerito, che ci ha dato accesso alla finestra dei downloads di Firefox (ancora sandoboxato). La finestrella riporta un collegamento al Desktop; cliccandoci abbiamo fatto comparire la barra delle applicazioni di Windows, che però non rispondeva ai comandi.
Finestra downloads di Firefox

Non ci siamo arresi.
La ricerca nel sito della Adobe era gestita da Google, quindi in basso alla pagina c’era un altro link al sito del motore di ricerca; il target del link era molto probabilmente _blank, quindi si è aperta una nuova finestra di Firefox, con tutti i menu e le barre al loro posto.
Google sulle macchinette

Una volta avuto accesso a quello è stato facile. Innanzitutto abbiamo provato siti di vario genere, come Youtube (segue foto con in bella vista un video sui LOLCATS).
Lolcats su Youtube

Seguendo i suggerimenti di mamma Google, abbiamo scaricato ed installato con successo Google Chrome (vedere sotto per un’immagine), dimostrando che l’utente costantemente loggato gira con i privilegi di amministratore. Ed a quel punto la barra delle applicazioni ha iniziato a rispondere ai click. Abbiamo aperto il menu Start ed un prompt dei comandi (per gradire), come dimostrato nella prima foto del repertorio.

Lezione del giorno: un altro punto a sfavore del sistema informatico del Poli (questa volta la parte hardware, ma si somma alla precedente figuraccia); un punto, invece, guadagnato dagli infaticabili smanettoni di Ingegneria Informatica 😛

AGGIORNAMENTO: all’uscita dal laboratorio, alla fine dello studio, siamo ripassati davanti al totem. La pagina web non era quella che avevamo lasciato, ma il sistema era ancora in uno stato di palese vulnerabilità. Amanti come siamo della ricorsione, abbiamo scattato un’ulteriore foto, questa volta in Chrome, visitando un sito… molto particolare 🙂

Blog in Chrome

Entry Filed under: Free (as in freedom) thoughts,Hardware,IT,Italian,Politically (in)correct,Software

8 Comments Add your own

  • 1. Mat_Jack1  |  January 27th, 2009 at 17:55:05

    LOL

    winner take it all!!


  • 2. IlDalma  |  January 27th, 2009 at 17:58:36

    LOLTRAIN!!!


  • 3. Fara  |  January 27th, 2009 at 17:59:15

    beh il LOL è ovvio, potevate giocare con dei semplici comandi DOS….

    format c:

    bastava anche cosi senza strane opzioni, in modo da godersi la formattazione del disco…ghghg!


  • 4. Mat_Jack1  |  January 27th, 2009 at 19:25:13

    Digg It!!


  • 5. dark  |  January 27th, 2009 at 19:33:01

    Fara: non siamo così cattivi 🙂 Il nostro è hacking, non cracking, non vogliamo creare danno, ma solo rendere consapevoli delle falle di sicurezza.


  • 6. MRG  |  January 28th, 2009 at 08:31:41

    …tanto chi si occupa di quei servizi non è in grado di capire…


  • 7. Noko  |  January 28th, 2009 at 14:17:07

    E’ capitato anche a me di vedere quel popup di acrobat mentre stampavo la richiesta tesi. Purtroppo non ho avuto tempo di indagare….

    Comunque non definirei quel firefox sandboxed!


  • 8. dark  |  January 31st, 2009 at 09:49:43

    Noko, tecnicamente hai ragione, però mirano ad esserlo.
    Non lo sono, altrimenti non saremmo qui a parlarne 🙂


Leave a Comment

Required

Required, hidden

Some HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Trackback this post  |  Subscribe to the comments via RSS Feed


Rate:  

Calendar

January 2009
M T W T F S S
« Dec   Feb »
 1234
567891011
12131415161718
19202122232425
262728293031  

Badges

Most Recent Posts

What's played in the cave