Dino Dai Zovi: Vista jest bezpieczniejsza niż Mac OS X
07.05.2007 15:30, aktual.: 07.05.2007 15:44
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Kilkanaście dni temu świat obiegła wiadomość o tym, iż pewien amerykański haker - Dino Dai Zovi - zdołał w zaledwie 9 godzin znaleźć nową lukę w środowisku Mac OS X i włamać się poprzez nią do komputera. Naszym kolegom z amerykańskiego Computerworlda udało się przeprowadzić wywiad z Zovim - opowiedział w nim m.in. o tym, jak udało mu się znaleźć dziurę w Mac OS X oraz jak przebiega proces znajdowania podobnych luk. Haker stwierdził również, iż nowy system Microsoftu - Windows Vista - jest znacznie bezpieczniejszy niż OS Apple'a i że stanowi dobry krok w kierunku zapewniania bezpieczeństwa użytkownikom Windows. Zovi opowiadał również o... łowieniu ryb oraz szczególnych środkach, które "łowcy dziur" muszą podejmować, aby wyniki ich badań nie wpadły w niepowołane ręce.
IDG: Jak to właściwie było ze znalezionym przez Ciebie błędem, który pozwolił na włamanie się do Maka? Początkowo ogłoszono, że problem dotyczy przeglądarki Safari, zaś kilka dni później - że luka znajduje się w zabezpieczeniach QuickTime'a. Skąd to zamieszanie?
Dino Dai Zovi: W chwili pisania exploita doskonale wiedziałem, gdzie znajduje się błąd - uzyskanie tej informacji to podstawowa sprawa, bez której nie da się skutecznie zaatakować systemu. Z premedytacją zataiłem na początku szczegółowe informacje - poinformowałem, że chodzi o Safari, ponieważ nie chciałem aby inni hakerzy wykorzystali moje odkrycia do samodzielnego wykrycia błędu. Dlatego początkowo ogłosiłem, że zgodnie z zasadami konkursu, włamałem się do komputera pracującego pod kontrolą Mac OS X przez lukę w Safari. Później dowiedziałem się jednak, że ludzie z projektu Zero Day Initiative chcą opublikować szczegółowe informacje na ten temat - m.in. podać do publicznej wiadomości fakt, iż luka dotyczy nie tylko Mac OS X i że na taki atak podatny jest każdy system, w którym zainstalowana jest przeglądarka obsługującą Javę oraz QuickTime. Wtedy też zdecydowałem się na udostępnienie pełnych danych na ten temat.
Czy badając lukę i tworząc exploita wiedziałeś, że problem dotyczy nie tylko Mac OS X?
Tak podejrzewałem - jednak celem konkursu było jak najszybsze włamanie się do Maka, dlatego na początku nie miałem czasu na dokładne sprawdzenie innych platform.
Cały proces - czyli wykrycie błędu i stworzenie skutecznego exploita - zajęło ci zaledwie ok. 9 godzin. Mówiłeś później, że "czułeś krew w wodzie" - co miałeś na myśli? Czy wiedziałeś o jakiejś niewykrytej przez nikogo innego luce w QuickTime?
Już wcześniej znajdowałem błędy w Mac OS X oraz QuickTime - moim atutem był to, że byłem nieźle obeznany z tym kodem. Ale błąd, poprzez który się włamałem, jest zupełnie nowy - odkryłem go w nocy poprzedzającej dzień, w którym wygrałem konkurs.
Mówiąc o "krwi w wodzie" miałem na myśli to, że od jakiegoś czasu pojawiały się informacje o lukach w QuickTime - m.in. o błędach związanych z Javą. A z moich doświadczeń wynika, że jeśli w jakiejś aplikacji już kiedyś wykryto określony rodzaj błędów, to jest bardzo prawdopodobne, że luk takich jest więcej.
Halvar Flake i Dave Aitel - dwaj cenieni "łowcy dziur" - mówią, że szukanie błędów w oprogramowaniu jest jak łowienie ryb. Czasami łowisz cały dzień i nie ma efektów, a innym razem łapiesz coś zupełnie niezwykłego. Więc jeśli słyszysz od kogoś, że w jakimś strumieniu ryby biorą wyjątkowo dobrze, to udajesz się na łowisko. W moim przypadku owym łowiskiem był QuickTime.Zaraz po potwierdzeniu informacji o luce pojawiły się doniesienia o tym, że exploit został wykradziony. Co prawda później okazało się, że to nieprawda - ale to ciekawa kwestia. Jak chronisz takie informacje?
Robią wszystko, co uważam za niezbędne by chronić wyniki moich badań. Działające exploity przechowują na zaszyfrowanych dyskach, które podłączane są do odpowiednio zabezpieczonego systemu jedynie na czas niezbędny do ich analizowania. Co więcej, komputer ten włączany jest jedynie na czas prac z exploitami - na co dzień pracuję na innej maszynie.
Jestem też bardzo ostrożny w kwestii dzielenia się wynikami moich prac z innymi. Staram się odpowiednio dawkować wiedzę o wykrytych przeze mnie lukach - np. rozmawiając w Internecie o stworzonych przeze mnie exploitach zwykle nadaje im mylące nazwy.
Czy sądzisz, że na podstawie udostępnionych przez ciebie do tej pory informacji o luce w QuickTime ktoś może samodzielnie wykryć ów błąd i również stworzyć exploita?
Myślę, że jest to możliwe - aczkolwiek z pewnością nie będzie to proste zadanie. Mam jednak nadzieję, że ten ktoś posłuży się taka informacją w odpowiedzialny sposób.
Jak ważnym czynnikiem w konkursie były pieniądze? Czy podjąłbyś się znalezienia błędu i włamania do systemu gdyby nie było nagrody w wysokości 10 tys. USD?
Najważniejsze było dla mnie wyzwanie - tym bardziej, że czas konkursu było ograniczony, więc miałem do czynienia z prawdziwym wyścigiem z czasem. Miałem też nadzieję, że zaprezentowanie publicznie poważnej luki w Mac OS X wprowadzi coś nowego do toczącej się właśnie debaty o bezpieczeństwie tego systemu.
Twoje badania dotyczą zarówno Mac OS, jak i Windows. Jak oceniasz bezpieczeństwo tych systemów? Który z nich jest lepiej zabezpieczony? Mac OS X 10.4 czy Windows Vista?
Z moich analiz wynika, że jakość kodu - przynajmniej w kwestii bezpieczeństwa - jest zdecydowanie wyższa w Windows Vista. Aby to stwierdzić, wystarczy uważnie śledzić informacje o błędach, publikowane przez Microsoft - jasno z nich wynika, iż wprowadzenie Security Development Lifecycle zaowocowało znacznym zmniejszeniem liczby błędów w nowopisanym oprogramowaniu. Mam nadzieję, że kolejni producenci oprogramowania wprowadzą podobne zasady tworzenia bezpiecznego kodu.
Nad czym ostatnio pracowałeś - oczywiście, oprócz luk w QuickTime?
Kilka miesięcy temu stworzyłem i przekazałem do Microsoftu nowy rootkit, wykorzystujący wirtualną maszynę. Jestem też współautorem wydanej niedawno książki - "The Art of Software Security Testing: Identifying Software Security Flaws". Zawodowo zajmuję się oczywiście bezpieczeństwem - pracuję w pewnej nowojorskiej firmie zajmującej się usługami finansowymi. A w wolnych chwilach wciąż szukam luk ( m.in. w sieciach Wi-Fi ) oraz piszę rootkity.