Charlie Miller: sconfortato dalla sicurezza

Charlie Miller, ancora una volta re della CanSecWest grazie ad un nuovo exploit su Safari, ha lamentato gli scarsi passi avanti della sicurezza: annunciati 20 bug scoperte in prodotti Microsoft, Apple e Adobe, ma i gruppi dovranno trovarseli da sé
Charlie Miller, ancora una volta re della CanSecWest grazie ad un nuovo exploit su Safari, ha lamentato gli scarsi passi avanti della sicurezza: annunciati 20 bug scoperte in prodotti Microsoft, Apple e Adobe, ma i gruppi dovranno trovarseli da sé
Giacomo Dotta
Pubblicato il 26 mar 2010
Charlie Miller: sconfortato dalla sicurezza

Charlie Miller è sinonimo di Pwn2Own, l’hacking contest della CanSecWest. Charlie Miller è sinonimo di bug e di ricerca. Ma la sua ricerca è arrivata ad un corto circuito. È egli stesso ad ammetterlo, confidando un certo sconforto per il modo in cui il mondo della sicurezza si è appiattito limitando l’evoluzione ad un gioco a “guardia e ladri” tra scoperta dei bug e rilascio delle patch.

Charlie Miller spiega che, usando semplicissime tecnologie, è riuscito a scovare oltre una ventina di bug in prodotti Microsoft, Apple e Adobe. Trattasi di poche righe di codice autoprodotto, un sistema che si propone di mettere alla prova i vari applicativi con procedure automatiche di test. Il “dumb fuzzer”, così è denominato il sistema, permette di inserire dati tramite apposito bot per valutare dove e se il sistema fallisce nell’elaborazione. Tutte cose che già i produttori utilizzano ma, secondo Miller, poco e male.

Il ricercatore si dice pronto a svelare il peccato, ma non il peccatore: sebbene abbia rivelato la scoperta dei bug, infatti, non intende diramare ulteriori dettagli per evitare di mettere a rischio l’utenza. Ed i bug non saranno rivelati nemmeno ai produttori: Miller intende piuttosto spiegare come trovare i problemi per far sì che ogni produttore adotti le tecniche migliori per analizzare i propri codici e risolvere ogni problematica emergente in autonomia.

«Trovo bug, molti bug. È una cosa sorprendente e sconfortante». Perchè grandi gruppi come Microsoft, Apple e Adobe, pur avendo team dedicati alla sicurezza, non riescono a tarpare in anticipo quelle falle in cui Miller puntualmente inciampa? L’annuncio di Miller ha lo scopo di costringere i team dei tre gruppi a moltiplicare gli sforzi: una volta spiegato il metodo, infatti, dovranno confrontarsi con la ricerca poiché messi sotto pressione da una ventina di bug a tutt’oggi in bilico.

Una falla è stata invece rivelata. Scoperta con le stesse tecnologie spiegate nell’intervista, è stata sfruttata per affondare un MacBook Pro tramite Safari. Si è trattata però di una dimostrazione con un fine specifico: 10000 dollari e la conferma di essere il re del Pwn2Own.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche

DuckDuckGo lancia Scam Blocker per una navigazione sicura
Antivirus

DuckDuckGo lancia Scam Blocker per una navigazione sicura
AGCOM mette in guardia contro le truffe legate a Piracy Shield
Web e Social

AGCOM mette in guardia contro le truffe legate a Piracy Shield
Violazione massiva dei dati: 16 miliardi di credenziali esposte
Antivirus

Violazione massiva dei dati: 16 miliardi di credenziali esposte
Oltre il 50% dello spam via e-mail è generato dall'intelligenza artificiale
Antivirus

Oltre il 50% dello spam via e-mail è generato dall'intelligenza artificiale
Link copiato negli appunti