Charlie Miller consiglia: evitate Flash

Charlie Miller è il re dei cosiddetti “Bug Hunter”. Il suo nome è noto nell’ambiente ormai da tempo e la sua immagine è collegata a doppio filo al mondo dell’hacking etico per la ricerca e la scoperta di vulnerabilità. Oggi Webnews ha la possibilità di portare online una intervista esclusiva a Miller, intervista da cui trapelano peraltro interessanti informazioni soprattutto in relazione a Flash. Inevitabilmente il discorso parte dal Pwn2Own, security contest che ha reso famoso il nome di Charlie Miller in relazione ai bug scoperti in Mac OS X.

Hai vinto per due anni il Pwn2Own bucando Safari su Mac OS X. Safari e Mac saranno i tuoi target anche per il Pwn2Own 2010? Miller dimostra di essere in piena “trance agonistica”, girando quindi inizialmente il discorso sul contest in sé: «Qualsiasi cosa è il mio target in questo momento. Mi piacerebbe hackerare uno dei device mobili, ma probabilmente finirò su Safari di nuovo. Sono stato il primo a bucare l’iPhone e un device con Android in passato, per questo mi sento a mio agio con queste due piattaforme, ma è più difficile bucarle. Quest’anno soltanto una persona per target può vincere, per questo il mio ostacolo più grande sarà fare in modo che nessuno mi batta sul tempo».

Il discorso gira quindi sul fattore tecnico, con Miller pronto ad un raffronto tra le varie piattaforme. Iniziando dal confronto tra windows 7 e Snow Leopard: «Windows 7 è leggermente più difficile perché implementa la ASLR (address space layout randomization) e ha una “superficie” d’attacco più ristretta (per esempio, niente Java o Flash di default). Windows solitamente è più difficile perché ha completa ASLR e DEP (data execution prevention). Tuttavia recentemente, un talk alla Black Hat DC è stato mostrato come aggirare queste protezioni in un browser su Windows». Per passare quindi a Linux: «Linux non è più difficile, probabilmente è addirittura più semplice, sebbene questo dipenda da quale variante di Linux tu ti riferisca. Gli organizzatori del contest non scelgono Linux perché non ci sono abbastanza utenti che lo usino sui propri dekstop. L’altro motivo è che le vulnerabilità sono nei browser, nella maggior parte dei casi, gli stessi browser che girano su Linux, girano anche su Windows».

Il consiglio di Miller circa la miglior configurazione da adottare (consiglio particolarmente prezioso, peraltro, alla luce del prossimo Ballot Screen) sembra snobbare Firefox e colpisce pesantemente Adobe: «Chrome o IE8 su Windows 7 senza Flash installato. Probabilmente non ci sono differenze sufficienti tra i browser per discuterne più di tanto. La cosa principale è non installare Flash».

L’intervista affronta altre questioni come le piattaforme mobile e le maggiori console sul mercato, con una chiosa che deve giocoforza far riflettere: «È ancora relativamente facile trovare e bucare le piattaforme in circolazione». L’intervista completa è disponibile su Webnews (italiano / inglese).