Dino Dai Zovi: Vista jest bezpieczniejsza niż Mac OS X

Kilkanaście dni temu świat obiegła wiadomość o tym, iż pewien amerykański haker - Dino Dai Zovi - zdołał w zaledwie 9 godzin znaleźć nową lukę w środowisku Mac OS X i włamać się poprzez nią do komputera. Naszym kolegom z amerykańskiego Computerworlda udało się przeprowadzić wywiad z Zovim - opowiedział w nim m.in. o tym, jak udało mu się znaleźć dziurę w Mac OS X oraz jak przebiega proces znajdowania podobnych luk. Haker stwierdził również, iż nowy system Microsoftu - Windows Vista - jest znacznie bezpieczniejszy niż OS Apple'a i że stanowi dobry krok w kierunku zapewniania bezpieczeństwa użytkownikom Windows. Zovi opowiadał również o... łowieniu ryb oraz szczególnych środkach, które "łowcy dziur" muszą podejmować, aby wyniki ich badań nie wpadły w niepowołane ręce.

IDG: Jak to właściwie było ze znalezionym przez Ciebie błędem, który pozwolił na włamanie się do Maka? Początkowo ogłoszono, że problem dotyczy przeglądarki Safari, zaś kilka dni później - że luka znajduje się w zabezpieczeniach QuickTime'a. Skąd to zamieszanie?

Włamanie za 10 tys. USD

Przypomnijmy: nietypowy konkurs, w ramach którego należało włamać się do komputera MacBook Pro, zorganizowano podczas obywającej się w Vancouver konferencji CanSecWest (poświęconej tematyce bezpieczeństwa komputera). Konkurs początkowo przeznaczony był tylko dla zaproszonych uczestników konferencji, którzy mieli włamać się do komputera przez bezprzewodowy punkt dostępowy. Początkowe zasady konkursu przewidywały stworzenie exploita atakującego komputer bez interakcji użytkownika - nagrodą za to był MacBook Pro. Po pewnym czasie zasady zmieniono. Udział w zawodach umożliwiono użytkownikom nieobecnym na konferencji - mogli oni w konkursie wykorzystać również exploity w postaci "złośliwych" stron internetowych; dodano też do listy nagród premię pieniężną. Włamanie do MacBooka Pro udało się nowojorczykowi o nazwisku Dino Dai Zovi, który wykrył i wykorzystał lukę w odtwarzaczu QuickTime, co pozwoliło mu uzyskać pełną kontrolę nad atakowanym systemem. Więcej informacji na ten temat znaleźć można w tekście "Obiekt: MacBook Pro. Cel: włamanie. Nagroda: 10 tys. USD".

Dino Dai Zovi: W chwili pisania exploita doskonale wiedziałem, gdzie znajduje się błąd - uzyskanie tej informacji to podstawowa sprawa, bez której nie da się skutecznie zaatakować systemu. Z premedytacją zataiłem na początku szczegółowe informacje - poinformowałem, że chodzi o Safari, ponieważ nie chciałem aby inni hakerzy wykorzystali moje odkrycia do samodzielnego wykrycia błędu. Dlatego początkowo ogłosiłem, że zgodnie z zasadami konkursu, włamałem się do komputera pracującego pod kontrolą Mac OS X przez lukę w Safari. Później dowiedziałem się jednak, że ludzie z projektu Zero Day Initiative chcą opublikować szczegółowe informacje na ten temat - m.in. podać do publicznej wiadomości fakt, iż luka dotyczy nie tylko Mac OS X i że na taki atak podatny jest każdy system, w którym zainstalowana jest przeglądarka obsługującą Javę oraz QuickTime. Wtedy też zdecydowałem się na udostępnienie pełnych danych na ten temat.

Czy badając lukę i tworząc exploita wiedziałeś, że problem dotyczy nie tylko Mac OS X?

Tak podejrzewałem - jednak celem konkursu było jak najszybsze włamanie się do Maka, dlatego na początku nie miałem czasu na dokładne sprawdzenie innych platform.

Cały proces - czyli wykrycie błędu i stworzenie skutecznego exploita - zajęło ci zaledwie ok. 9 godzin. Mówiłeś później, że "czułeś krew w wodzie" - co miałeś na myśli? Czy wiedziałeś o jakiejś niewykrytej przez nikogo innego luce w QuickTime?

Już wcześniej znajdowałem błędy w Mac OS X oraz QuickTime - moim atutem był to, że byłem nieźle obeznany z tym kodem. Ale błąd, poprzez który się włamałem, jest zupełnie nowy - odkryłem go w nocy poprzedzającej dzień, w którym wygrałem konkurs.

Mówiąc o "krwi w wodzie" miałem na myśli to, że od jakiegoś czasu pojawiały się informacje o lukach w QuickTime - m.in. o błędach związanych z Javą. A z moich doświadczeń wynika, że jeśli w jakiejś aplikacji już kiedyś wykryto określony rodzaj błędów, to jest bardzo prawdopodobne, że luk takich jest więcej.

Halvar Flake i Dave Aitel - dwaj cenieni "łowcy dziur" - mówią, że szukanie błędów w oprogramowaniu jest jak łowienie ryb. Czasami łowisz cały dzień i nie ma efektów, a innym razem łapiesz coś zupełnie niezwykłego. Więc jeśli słyszysz od kogoś, że w jakimś strumieniu ryby biorą wyjątkowo dobrze, to udajesz się na łowisko. W moim przypadku owym łowiskiem był QuickTime.


Zobacz również