Pwn2Own è un famoso security contest che si tiene durante la conferenza CansecWest Conference. Tutti gli anni c’è una grossa ricompensa per chi riesce a trovare bug per i browser più popolari, per i sistemi operativi e per dispositivi mobili come l’iPhone. Negli ultimi due anni il vincitore del Pwn2Own è stato Charlie Miller (0xcharlie su Twitter), uno dei più famosi bug hunter in circolazione.
Pwn2Own 2010 si terrà nell’arco di tre giorni a partire dal 24 marzo, così abbiamo deciso di intervistare proprio Charlie Miller (english version here) per avere qualche anticipazione. Queste sono le sue risposte:
Hai vinto per due anni il Pwn2Own bucando Safari su Mac OS X. Safari e Mac saranno i tuoi target anche per il Pwn2Own 2010?
Qualsiasi cosa è il mio target in questo momento. Mi piacerebbe hackerare uno dei device mobili, ma probabilmente finirò su Safari di nuovo. Sono stato il primo a bucare l’iPhone e un device con Android in passato, per questo mi sento a mio agio con queste due piattaforme, ma è più difficile bucarle. Quest’anno soltanto una persona per target può vincere, per questo il mio ostacolo più grande sarà fare in modo che nessuno mi batta sul tempo.
Windows 7 o Snow Leopard, quali di questi due sistemi operativi commerciali sarà più difficile da hackerare e perché?
Windows 7 è leggermente più difficile perché implementa la ASLR (address space layout randomization) e ha una “superficie” d’attacco più ristretta (per esempio, niente Java o Flash di default). Windows solitamente è più difficile perché ha completa ASLR e DEP (data execution prevention). Tuttavia recentemente, un talk alla Black Hat DC è stato mostrato come aggirare queste protezioni in un browser su Windows.
Alla Pwn2Own 2010 non c’è ancora traccia di Linux come possibile target. È troppo difficile trovare exploit per Linux o un sistema operativo non commerciale non è interessante per i cacciatori di exploit?
No, Linux non è più difficile, probabilmente è addirittura più semplice, sebbene questo dipenda da quale variante di Linux a cui ti riferisci. Gli organizzatori del contest non scelgono Linux perché non ci sono abbastanza utenti che lo usino sui propri dekstop. L’altro motivo è che le vulnerabilità sono nei browser, nella maggior parte dei casi, gli stessi browser che girano su Linux, girano anche su Windows.
Che ne pensi di Chrome OS? È veramente un sistema sicuro o potrebbe essere un bersaglio facile nell’immediato futuro?
Non ne so abbastanza di questo sistema per poter darti una risposta.
Secondo te, qual è la combinazione sistema operativo+browser più sicura da usare?
Questa è una buona domanda. Chrome o IE8 su Windows 7 senza Flash installato. Probabilmente non ci sono differenze sufficienti tra i browser per discuterne più di tanto. La cosa principale è non installare Flash
Per quanto riguarda il “mobile”, i grandi target del Pwn2Own 2010 saranno l’iPhone 3GS/iPhone OS e Android/Motorola Droid. Quale dei due sarà più facilmente bucabile?
Sono entrambi abbastanza sicuri. Suppongo l’iPhone perché è sul mercato da più tempo e sono state fatte più ricerche sul melafonino. Tuttavia, questo non vuol dire che sia meno sicuro, è solo che i ricercatori capiscono meglio il suo funzionamento.
Il prossimo anno, un nuovo possibile target potrebbe essere Windows Phone 7, che ne pensi di questa previsione?
Spero di si. Mi piace il Pwn2own e penso che sia ottimo il sistema di ricompense per i ricercatori e come il contest permetta di correggere vulnerabilità che altrimenti metterebbero a rischio gli utenti.
Il mondo delle game console è un grande business, le console sono nei nostri soggiorni ma ci sono ancora pochi exploit e vulnerabilità scoperte. Perché soltanto pochi security researcher tra i più noti (per esempio George Hotz) lavorano alla scoperta di exploit per le console da gioco?
Nonostante ci siano moltissime console, ci sono certamente molti più computer, per esempio. Inoltre, le console non devono necessariamente connettersi a Internet. Ho avuto una Wii per un anno e non l’ho mai connessa a Internet. È difficile attaccare da remoto un sistema quando non puoi inviargli pacchetti:) Inoltre, computer, e telefoni in misura minore, sono progettati per essere personalizzati, per scaricare e usare/visualizzare contenuti da Internet. Lì esistono le vulnerabilità e lì sono creati gli exploit. Le console da gioco non sono perennemente su Internet riducendo in questo modo la superficie d’attacco. L’ultima ragione è che è difficile fare ricerca sulle console. Non è facile fare girare un debugger su una Xbox, per esempio.
Last but not least, puoi dirci qualcosa riguardo alla tua cassetta degli attrezzi? Quali sono i software che utilizzi per scoprire vulnerabilità?
Puoi leggere il Mac hacker’s handbook, la maggior parte dei miei segreti sono lì. Uso una combinazione di tecniche statiche e dinamiche. Uso IDA Pro per fare reverse engineering e un fuzzing framework che ho scritto personalmente chiamato Tiamat, oltre a moltissima pazienza e duro lavoro. Non c’è niente di quelo che faccio che altre 1000 persone nel mondo non potrebbero fare se solo volessero. È ancora relativamente facile trovare e bucare le piattaforme in circolazione.